安全公司的最新研究绿洲警告称,流行的AI代理OpenClaw极易受到基于网站的劫持攻击,攻击者可以在完全控制开发者的代理时,完全不需用户操作。
该漏洞(称为"ClawJacked")在发布前已向开发者伦理披露,但OpenClaw用户需更新至2026.2.25或更高版本,以确保安全修复。早期版本的漏洞利用了可信的 WebSocket 连接到 localhost 不对密码尝试进行速率限制的事实,这使得恶意行为者有可能通过"暴力破解"进入 OpenClaw 网关端口。
AI代理可能对其访问的任何恶意网站都可能受到攻击
OpenClaw在过去大约一个月里取得了巨大成功,至少在初步采用率方面是这样。它现在已成为全球数十万用户的默认AI代理,并迅速被OpenAI收购。许多用户允许它自主访问设备上的敏感功能,因为它作为个人助理处理各种工作和日常生活任务。
但其一个关键特性------能够在执行任务时自动在网站和互联网搜索中移动的能力------也使其暴露于威胁行为者面前。Oasis的研究人员记录了一条漏洞链,AI代理(或其用户)访问的任何网站都可以发起,用户无需任何互动,也完全不知道自己正被攻破。
攻击目标是OpenClaw的"网关",该门户本质上充当AI代理的神经中枢。网关是一个本地WebSocket服务器,将被授权下达命令的连接设备和应用视为节点。网关默认绑定在localhost上,隐含假设它是可信的,因为它在本地访问所有内容。
这种信任正是攻击所利用的。AI代理访问的恶意网站上隐藏JavaScript可以悄无声息地在OpenClaw网关端口上打开WebSocket连接到localhost,而不会受到跨源策略的挑战。这使恶意脚本能够任意执行密码猜测,且没有任何速率或失败限制。一旦网关被破解,脚本可以静默地将自己注册为网络中的"受信任设备"节点之一。从这里,攻击者可以直接与AI代理交互并下达命令,同时导出网关配置并枚举所有连接的节点。在测试中,研究人员发现仅靠浏览器JavaScript,他们就能每秒执行数百次密码猜测,并在几分钟内耗尽字典文件,这意味着标准的人为密码极有可能在相当短的时间内被破解。
除了确保OpenClaw尽快更新到最新版本外,安全研究人员建议组织通过索引所有运行中的代理和助手来提升对AI工具的可见性。还应全面审查OpenClaw访问的全谱,并考虑针对非人类实体的治理政策。
戴安娜·凯利,首席信息安全官诺马保安,补充了一些进一步建议:"Oasis Security研究团队的这项研究提醒我们,运行在开发者机器上的AI代理必须被视为高度特权系统。核心问题是对本地联系的错误信任。"本地"并不自动意味着"安全"。随着人工智能工具逐步访问代码、凭证和自动化工作流程,安全控制必须与面向互联网系统的控制一样强大。组织应审查其AI工具如何认证访问权限、执行速率限制,并要求用户明确批准后才能授权控制权。"
"影子IT"升级为更令人担忧的"影子AI"
"影子IT",即员工临时使用未经批准的软件和设备,多年来一直困扰着网络安全团队。这个问题现在正演变成"影子AI",带来更大、更令人担忧的威胁范围。
OpenClaw 只是较为流行且广泛使用的例子之一,而这个漏洞只是众多漏洞中的一个。自今年年初以来,它已成为八个至少中等严重度的文档化 CVE 之一,且可能支持远程代码执行、路径穿越或认证绕过。这些漏洞可追溯到 1 月 20 日发布的 OpenClaw 2026.1.20,之后的多次更新基本上是一系列安全补丁,旨在解决这些问题。
人工智能代理也吸引了更多主动的恶意行为者,他们不会等待漏洞出现。今年二月进行的一项研究发现,已有超过1000个恶意技能上传到集中式仓库ClawHub,大多数伪装成某种合法工具。许多人也只是主动为攻击者敞开大门;Bitsight最近的一项研究发现,仅用Shodan快速搜索就能对公众开放超过3万个实例,这很可能源于对安全风险的天真以及在如此多个人账户访问权限下技术知识不足的综合考虑。
马克·麦克莱恩,首席执行官SailPoint,指出这只是未来几年人工智能代理安全趋势的开端:"此事件应成为组织重新思考身份安全策略的警钟。随着人工智能智能体越来越融入我们的系统,我们需要把它们当作安全框架中的一等公民对待。这意味着对代理身份的严格要求与对待人类身份一样,包括发现、治理、访问控制和持续监控。OpenClaw事件并非孤立事件,而是未来事件的预告。组织必须立即采取行动,弥补安全防护中的漏洞,防止这些漏洞导致广泛的损害。"