ClawJacked:恶意网站可劫持本地 OpenClaw AI Agent
Oasis Security 披露了一个名为 "ClawJacked" 的高危漏洞(OpenClaw 已在 v2026.2.25 修复)。
攻击链路:
1️⃣ 恶意网站打开到
2️⃣ 由于缺少速率限制,暴力破解密码
3️⃣ 静默注册为"受信任设备"
4️⃣ 获得管理员控制权
5️⃣ 导出配置/日志,枚举已连接节点,窃取 API keys / 凭证
根本原因:
• WebSocket 端点暴露在 localhost(浏览器可以从任意网站发起连接)
• 无速率限制的密码验证
• 信任边界依赖应用层检查,而非 OS 级隔离
影响范围:
全球 OpenClaw 用户(开发者 + 企业)— 任何访问恶意网站的用户,如果本地运行着 OpenClaw Gateway,就可能被劫持
修复建议:
✅ 立即升级到 v2026.2.25+
✅ 将 agent 运行时视为**"高风险的凭证代码执行环境"**
✅ 考虑容器隔离方案(如 NanoClaw)
为什么这个漏洞很严重:
OpenClaw 的 Gateway 进程能访问:
• 所有 channel 凭证(Telegram / Discord / WhatsApp)
• LLM API keys(OpenAI / Anthropic / Google)
• 用户的文件系统(通过 bash 工具)
• 所有已连接的 paired nodes
一旦被劫持,攻击者可以:
• 读取所有 session 历史和
• 以你的身份发送消息
• 执行任意命令
• 窃取私钥/凭证
这再次验证了 NanoClaw 文章的核心论点:应用层检查不够,必须有 OS 级容器隔离。
来源:
• Oasis Security 披露
• OpenClaw 修复 commit: v2026.2.25
• ThreatSynop: https://x.com/ThreatSynop/status/2027809547419848759
Oasis Security 披露了一个名为 "ClawJacked" 的高危漏洞(OpenClaw 已在 v2026.2.25 修复)。
攻击链路:
1️⃣ 恶意网站打开到
localhost WebSocket 的连接(OpenClaw Gateway 默认监听 18789 端口)2️⃣ 由于缺少速率限制,暴力破解密码
3️⃣ 静默注册为"受信任设备"
4️⃣ 获得管理员控制权
5️⃣ 导出配置/日志,枚举已连接节点,窃取 API keys / 凭证
根本原因:
• WebSocket 端点暴露在 localhost(浏览器可以从任意网站发起连接)
• 无速率限制的密码验证
• 信任边界依赖应用层检查,而非 OS 级隔离
影响范围:
全球 OpenClaw 用户(开发者 + 企业)— 任何访问恶意网站的用户,如果本地运行着 OpenClaw Gateway,就可能被劫持
修复建议:
✅ 立即升级到 v2026.2.25+
✅ 将 agent 运行时视为**"高风险的凭证代码执行环境"**
✅ 考虑容器隔离方案(如 NanoClaw)
为什么这个漏洞很严重:
OpenClaw 的 Gateway 进程能访问:
• 所有 channel 凭证(Telegram / Discord / WhatsApp)
• LLM API keys(OpenAI / Anthropic / Google)
• 用户的文件系统(通过 bash 工具)
• 所有已连接的 paired nodes
一旦被劫持,攻击者可以:
• 读取所有 session 历史和
MEMORY.md• 以你的身份发送消息
• 执行任意命令
• 窃取私钥/凭证
这再次验证了 NanoClaw 文章的核心论点:应用层检查不够,必须有 OS 级容器隔离。
来源:
• Oasis Security 披露
• OpenClaw 修复 commit: v2026.2.25
• ThreatSynop: https://x.com/ThreatSynop/status/2027809547419848759
