OpenClaw Clawdbot存在高風險點擊漏洞,可外洩權杖導致閘道器遭接管
漏洞說明
代理型AI系統OpenClaw專案揭露一項高風險漏洞,影響NPM套件Clawdbot在控制介面Control UI的連線流程。當使用者點擊惡意連結或進入特定網站時,系統會自動根據網址中的閘道器連線位址參數進行連線,並在過程中送出儲存在瀏覽器內的閘道器驗證權杖(Token),導致攻擊者可取得權杖並接管閘道器。
攻擊影響
攻擊者一旦取得驗證權杖,即可在目標主機上執行程式碼,進而對系統進行遠端控制與惡意操作,造成資料外洩、系統被篡改等嚴重後果。
相關報導與警示
- 資安週報指出,Clawdbot因組態設置不當,產生資安風險,並引發產業關注。
- 資安研究員Jamieson O’Reilly發現,數百個ClawdBot控制伺服器因配置不當,導致私隱對話與Root權限可能被無意間公開。
- YouTube影片警示,OpenClaw(原Moltbot/ClawdBot)存在高危RCE漏洞,點擊連結即可被「接管」。
- 工業和信息化部監測發現,OpenClaw在默認或不當配置下存在較高安全風險,極易引發網路攻擊。