OpenClaw Clawdbot存在高風險點擊漏洞,可外洩權杖導致閘道器遭接管
漏洞說明
代理型AI系統OpenClaw專案揭露一項高風險點擊漏洞,影響NPM套件Clawdbot在控制介面Control UI的連線流程。攻擊者可透過精心設計的惡意連結或網站,誘導使用者在瀏覽器載入頁面時,自動連線到攻擊者控制的端點,進一步外洩儲存在瀏覽器內的閘道器(Gateway)驗證權杖(Token)。
風險影響
一旦權杖遭竊,攻擊者就可能取得對Gateway API的操作權限,進而接管Gateway,並在Gateway主機上達成程式碼執行。此漏洞可能導致整個系統被完全控制,並對使用者資料與系統運作造成嚴重威脅。
修補資訊
該漏洞已在Clawdbot v2026.1.29版本中修補,受影響的用戶應立即更新至最新版本以確保安全。
相關報導
- OpenClaw Clawdbot存在高風險點擊漏洞,可外洩權杖導致閘道器遭接管
- 【資安週報】0126~0130,開源AI代理Clawbot竄紅 – iThome
- ClawdBot 曝嚴重配置漏洞私隱對話與Root 權限恐全網任看? | 流動日報
- 警惕!OpenClaw (原Moltbot/Clawdbot) 曝出高危RCE漏洞 – YouTube
- 超級大漏洞警告!Clawdbot 現在中門大開,真的超危險 … – Facebook
- 你的OpenClaw正在變成駭客後門!AI助理本地部署必看的四個安全 … – YouTube
- AI助手OpenClaw走紅工信部籲防安全風險 – 東方日報
- [Must Read Before Use!] The Potentially Huge Risks of OpenClaw – YouTube