OpenClaw存在資安漏洞ClawJacked，攻擊者恐透過WebSocket連線挾持

一月底正式推出而爆紅的開源AI代理平臺OpenClaw（先前稱為Clawdbot、Moltbot），吸引大量使用者架設，然而有資安公司發現，用戶瀏覽的網站有可能挾持這個平臺。

資安公司Oasis Security近日揭露OpenClaw存在名為ClawJacked的高風險安全漏洞（未登記CVE編號、尚無CVSS風險評分），攻擊者只要誘導使用者瀏覽惡意網站，在無需額外下載或使用者點擊、安裝擴充套件或外掛程式的情況下，就可能暗中接管電腦執行的AI代理系統。對此，該公司已向OpenClaw開發工程團隊通報，OpenClaw亦發布2026.2.25版修補。

對於ClawJacked的問題核心，出現在OpenClaw啟動時建立的本地閘道（gateway）服務。該服務透過WebSocket監聽本機（localhost）連線，原本設計目的是讓瀏覽器介面與OpenClaw代理溝通。然而Oasis Security發現，攻擊者可透過惡意網站的JavaScript程式碼，嘗試與電腦本機的WebSocket建立連線，而瀏覽器的跨來源政策（cross-origin policies）不會阻擋此類連線行為。

另一方面，閘道服務對於來自本機的身分驗證請求，未實施嚴格的速率限制，導致攻擊者可透過瀏覽器在系統背景執行暴力破解，猜出密碼並登入OpenClaw。一旦成功，攻擊程式即可將自身註冊為受信任裝置，取得持續性的控制權限。

研究人員公布利用ClawJacked的可能攻擊流程。首先，攻擊者誘導受害者瀏覽惡意網站；一旦使用者照做，網站上的指令碼隨即嘗試連線本機OpenClaw服務，並透過暴力破解取得存取權限；最後在使用者毫無察覺下，取得AI代理的管理能力。由於OpenClaw可能持有雲端金鑰、資料庫憑證或企業內部API權限，若遭接管，影響層面恐從個人環境擴大至整個企業網路。

值得注意的是，此類攻擊僅透過瀏覽器與本地服務的互動機制即可完成，顯示新一代AI工具在設計時，若未充分考量本機服務的風險暴露，有可能成為攻擊者的新入口。

在接獲通報後，OpenClaw開發工程團隊已迅速釋出修補漏洞的新版本，並強化本機驗證與連線控制機制。Oasis Security建議使用者，除了應立即將OpenClaw更新至最新版本，也避免在高權限工作站上，直接執行具有廣泛系統存取權限的AI代理工具，必要時可透過虛擬機或隔離環境執行，以降低風險。

先前OpenClaw開發工程團隊曾公告及修補另一個高風險漏洞，引起外界關注，該漏洞為需透過點擊觸發的遠端程式碼執行（RCE）漏洞，存在於控制介面Control UI建立連線的流程，攻擊者可透過特製的網站或惡意連結，誘導使用者存取，一旦瀏覽器載入網頁，OpenClaw就會自動連線到攻擊者控制的端點，洩露瀏覽器存放的閘道身分驗證權杖（Token），開發工程團隊發布2026.1.29版修補，該漏洞後來被登記為CVE-2026-25253列管，CVSS風險評為8.8分。