OpenClaw修复ClawJacked漏洞：恶意网站可劫持本地AI智能体

OpenClaw已修复一个高严重性安全漏洞，该漏洞若被成功利用，可能允许恶意网站连接到本地运行的人工智能智能体并接管控制权。

Oasis Security在本周发布的报告中表示："我们发现的漏洞存在于核心系统本身——不涉及插件、应用商店或用户安装的扩展程序——仅仅是按文档运行的OpenClaw网关。"

该安全公司将此漏洞命名为ClawJacked。

攻击假设以下威胁模型：开发人员在其笔记本电脑上设置并运行OpenClaw，其网关是一个本地WebSocket服务器，绑定到localhost并受密码保护。当开发人员通过社会工程或其他方式访问攻击者控制的网站时，攻击就会启动。

感染序列遵循以下步骤

感染序列包含以下步骤：网页上的恶意JavaScript在OpenClaw网关端口上打开到localhost的WebSocket连接；脚本利用缺失的速率限制机制暴力破解网关密码；在获得管理员级别权限的身份验证后，脚本悄悄注册为受信任设备，网关会自动批准而无需用户提示；攻击者获得对AI智能体的完全控制权，可以与其交互、转储配置数据、枚举连接的节点并读取应用程序日志。

Oasis Security表示："您访问的任何网站都可以打开到您localhost的连接。与常规HTTP请求不同，浏览器不会阻止这些跨源连接。因此，当您浏览任何网站时，该页面上运行的JavaScript可以静默地打开到您本地OpenClaw网关的连接。用户看不到任何提示。"

"这种错误的信任会带来真正的后果。网关为本地连接放宽了几种安全机制——包括在不提示用户的情况下静默批准新设备注册。通常，当新设备连接时，用户必须确认配对。从localhost连接时，这是自动的。"

在负责任的披露后，OpenClaw在不到24小时内推送了修复程序，于2026年2月26日发布了版本2026.2.25。建议用户尽快应用最新更新，定期审核授予AI智能体的访问权限，并对非人类（即智能体）身份实施适当的治理控制。

这一发展正值OpenClaw生态系统面临更广泛安全审查之际，主要源于AI智能体对不同系统具有根深蒂固的访问权限和跨企业工具执行任务的权限，一旦被攻破，将导致显著更大的影响范围。

Bitsight和NeuralTrust的报告详细说明了连接到互联网的OpenClaw实例如何构成扩大的攻击面，每个集成服务都进一步扩大了影响范围，并且可以通过在智能体处理的内容（如电子邮件或Slack消息）中嵌入提示注入来转化为攻击武器，以执行恶意操作。

日志投毒漏洞修复

此次披露的同时，OpenClaw还修补了一个日志投毒漏洞，该漏洞允许攻击者通过WebSocket请求向TCP端口18789上公开可访问的实例的日志文件写入恶意内容。

由于智能体会读取自己的日志来排除某些任务的故障，威胁行为者可能滥用此安全漏洞来嵌入间接提示注入，导致意外后果。该问题已在2026年2月14日发布的版本2026.2.13中得到解决。

Eye Security表示："如果注入的文本被解释为有意义的操作信息而不是不可信输入，它可能会影响决策、建议或自动化操作。因此影响不是'即时接管'，而是：操纵智能体推理、影响故障排除步骤、如果智能体被引导泄露上下文则可能导致数据泄露，以及间接滥用连接的集成。"

多重漏洞修复

最近几周，OpenClaw还被发现容易受到多个漏洞的影响（CVE-2026-25593、CVE-2026-24763、CVE-2026-25157、CVE-2026-25475、CVE-2026-26319、CVE-2026-26322、CVE-2026-26329），严重程度从中等到高等不等，可能导致远程代码执行、命令注入、服务器端请求伪造（SSRF）、身份验证绕过和路径遍历。这些漏洞已在OpenClaw版本2026.1.20、2026.1.29、2026.2.1、2026.2.2和2026.2.14中得到解决。

Endor Labs表示："随着AI智能体框架在企业环境中变得更加普遍，安全分析必须发展以应对传统漏洞和AI特定攻击面。"

ClawHub恶意技能威胁

此外，新研究表明，上传到ClawHub（下载OpenClaw技能的开放市场）的恶意技能正被用作传递Atomic Stealer新变种的渠道，这是一个由名为Cookie Spider的网络犯罪行为者开发和出租的macOS信息窃取器。

Trend Micro表示："感染链始于一个看似正常的SKILL.md，它安装一个前提条件。该技能表面上看起来无害，甚至在VirusTotal上被标记为良性。然后OpenClaw访问网站，获取安装说明，如果大语言模型决定遵循说明，就会继续安装。"

托管在网站"openclawcli.vercel[.]app"上的说明包含一个恶意命令，用于从外部服务器（"91.92.242[.]30"）下载窃取器载荷并运行它。

威胁猎手还标记了一个新的恶意软件传播活动，其中一个名为@liuhui1010的威胁行为者在合法技能列表页面上留言，如果技能"在macOS上不工作"，敦促用户在终端应用程序上显式运行他们提供的命令。

该命令旨在从"91.92.242[.]30"检索Atomic Stealer，这个IP地址此前已被Koi Security和OpenSourceMalware记录为通过上传到ClawHub的恶意技能分发相同恶意软件。

AI安全公司Straiker最近对3,505个ClawHub技能的分析发现了不少于71个恶意技能，其中一些冒充合法的加密货币工具，但包含将资金重定向到威胁行为者控制的钱包的隐藏功能。

其他两个技能bob-p2p-beta和runware被归因于一个多层加密货币诈骗，该诈骗采用针对AI智能体生态系统的智能体对智能体攻击链。这些技能被归因于在ClawHub上使用别名"26medias"、在Moltbook和X上使用"BobVonNeumann"的威胁行为者。

研究人员Yash Somalkar和Dan Regalado表示："BobVonNeumann在Moltbook上将自己包装成AI智能体，Moltbook是一个为智能体相互交互而设计的社交网络。从那个位置，它直接向其他智能体推广自己的恶意技能，利用智能体默认设计给予彼此的信任。这是一个在供应链攻击基础上构建社会工程层的攻击。"

bob-p2p-beta的实际功能是指示其他AI智能体以明文形式存储Solana钱包私钥，在pump.fun上购买毫无价值的$BOB代币，并通过攻击者控制的基础设施路由所有付款。第二个技能声称提供良性图像生成工具来建立开发者的可信度。

鉴于ClawHub正成为攻击者的新沃土，建议用户在安装技能之前对其进行审核，除非必要否则避免提供凭据和密钥，并监控技能行为。

微软安全建议

与OpenClaw等自托管智能体运行时相关的安全风险也促使微软发布建议，警告未受保护的部署可能为凭据暴露/泄露、内存修改和主机妥协铺平道路，如果智能体可以被诱骗通过中毒技能或提示注入来检索和运行恶意代码。

Microsoft Defender安全研究团队表示："由于这些特征，OpenClaw应被视为具有持久凭据的不可信代码执行。它不适合在标准个人或企业工作站上运行。"

"如果组织确定必须评估OpenClaw，则应仅在完全隔离的环境中部署，例如专用虚拟机或独立物理系统。运行时应使用专用的、非特权凭据，并仅访问非敏感数据。持续监控和重建计划应成为操作模型的一部分。"

Q&A

Q1：ClawJacked漏洞是什么？它如何影响OpenClaw用户？

A：ClawJacked是OpenClaw中的一个高严重性安全漏洞，允许恶意网站通过WebSocket连接到本地运行的AI智能体并接管控制权。攻击者可以通过暴力破解密码、注册为受信任设备，最终获得对AI智能体的完全控制权，包括转储配置数据、读取日志等。

Q2：ClawHub上的恶意技能有哪些风险？

A：ClawHub上发现了71个恶意技能，包括传播Atomic Stealer恶意软件、冒充加密货币工具窃取资金、以及智能体对智能体的攻击链。这些恶意技能可能通过看似无害的安装说明执行恶意代码，窃取用户凭据或重定向资金到攻击者钱包。

Q3：如何安全使用OpenClaw和ClawHub？

A：建议用户及时更新到最新版本、定期审核授予AI智能体的访问权限、在安装技能前进行审核、避免提供不必要的凭据。微软建议将OpenClaw部署在完全隔离的环境中，如专用虚拟机，使用非特权凭据，并实施持续监控。