OpenClaw存在資安漏洞ClawJacked,攻擊者恐透過WebSocket連線挾持
漏洞簡介
OpenClaw是一個開源AI代理平臺,因其一月底正式推出而爆紅,吸引大量使用者架設。然而,資安公司Oasis Security發現,該平臺存在一個名為「ClawJacked」的高危資安漏洞。
攻擊機制
- 攻擊者首先誘導受害者瀏覽惡意網站。
- 一旦使用者點擊惡意網站,網站上的JavaScript程式碼會嘗試與電腦本機的OpenClaw服務建立WebSocket連線。
- 由於瀏覽器的跨來源政策(cross-origin policies)不會封鎖對本機服務的連線,攻擊者得以成功建立連線。
- 若攻擊成功,攻擊程式將自身註冊為受信任裝置,取得持續性的控制權限,並可能接管使用者的AI代理。
風險與影響
此漏洞若被成功利用,可能允許惡意網站連線到本地運行的人工智能智能體,並取得控制權,對使用者隱私與資料安全構成重大威脅。
修復資訊
OpenClaw已於v2026.2.25版本中修復此漏洞,使用者應立即升級至最新版本以確保安全。