OpenClaw Clawdbot存在高風險點擊漏洞,可外洩權杖導致閘道器遭接管
漏洞說明
OpenClaw專案揭露Clawdbot在控制介面Control UI的連線流程中存在高風險點擊漏洞。當使用者載入包含惡意連結或網站的頁面時,系統會自動根據網址中的閘道器連線位址參數進行連線,並在過程中送出儲存在瀏覽器內的閘道器驗證權杖(Token),導致攻擊者可藉此外洩權杖並接管閘道器。
攻擊風險
- 攻擊者可透過精心設計的惡意連結誘導使用者載入頁面,進而觸發自動連線流程。
- 一旦權杖被外洩,攻擊者即可取得對閘道器的完全控制權,並在主機上執行程式碼,造成系統被接管。
- 此漏洞在預設配置下即存在,若未進行適當設定,將使系統對外暴露於高風險狀態。
相關報導與安全提醒
根據iThome報導,約4.29萬個OpenClaw代理型AI實例直接曝露於網際網路,其中部分存在遠端程式碼執行等安全風險,主因是預設允許任何人從網際網路存取。
資安研究員亦指出,由於配置不當,數百個ClawdBot控制伺服器的存取權限無意間向整個互聯網開放,極大增加隱私資料外洩與惡意行為風險。
此外,有網友指出,預設配置會開放18789端口,使Clawdbot對外中門大開,極易被攻擊。