前言
最近OpenClaw被吹的很火,实际上就是一个调度工具,你用Claude,Codex,甚至你自己写脚本都是一样的,不用特别神化这个东西。但是他有一些自己的优化和初始能力确实很好用,降低了使用门槛。并且可视化页面也给人一种亲近的感觉。所以我们带着学习的角度来试试他的初始能力。
环境
本次测试只使用OpenClaw的初始能力,不使用任何的Skills以及MCP。
AI:DeepSeek-chat
环境:报错注入-sql注入-数字型
地址:http://www.loveli.com.cn/see_bug_one?id=106
开始测试:
首先开启靶场,然后输入一下提示词:
bash
帮我针对这个网站进行渗透测试,只需要关注漏洞即可,不使用任何的mcp能力,http://ybpy1r0.haobachang2.loveli.com.cn:8888 你需要拿到flag,flag的样式是flag{*****}直接看结果,他出色的完成了这个任务,总共耗时5分钟,消耗API Token 费用,0.5¥(真贵)
具体的内容可以看视频,这里来截一些关键内容的图
可以看到OpenClaw自己打开了一个浏览器,开始基本的功能检查,他按照用户的方式,输入了1进行测试
使用了基础的SQL注入语句进行测试
然后就是一系列的基本流程测试,像一个标准程序去执行了。最终它自己获得了flag。
总结:
像这种简单的,其实是AI自己已经有了相对应的能力,OpenClaw只是调用了这个能力而已,开启浏览器,其实就是所谓的调用了一个MCP,也就是大脑的手。熟手可以用它替代一些简单的工作,作为新手,你甚至可以向AI学习,你要知道AI是很多知识的聚合体和精华,用来学习和入门绰绰有余。