OpenClaw爆重大漏洞:你的AI助手可能被劫持

「攻击者无需用户交互,即可远程控制你的AI助手。这不是科幻,是刚刚发生的安全事件。」

一、漏洞曝光:ClawJacked

2026年3月初,安全研究人员披露了一个编号为 ClawJacked 的Critical级别漏洞,影响全球数百万OpenClaw用户。

漏洞核心: 恶意网站可以通过WebSocket连接本地OpenClaw网关,暴力破解密码,最终完全控制用户的AI助手。

攻击流程:

用户访问恶意网站
    ↓
网站通过WebSocket连接 localhost:8080 (OpenClaw默认端口)
    ↓
暴力破解网关密码(默认/弱密码)
    ↓
成功连接 → 获得AI助手完全控制权
    ↓
可以执行任意操作:读取文件、发送消息、执行命令

最可怕的一点: 整个过程无需用户交互。

二、影响范围有多广?

2.1 受影响版本

  • OpenClaw 2025.12.0 至 2026.2.15 的所有版本
  • 使用默认配置的新用户风险最高
  • 修改过默认端口但未设置强密码的用户仍有风险

2.2 攻击场景举例

场景一:数据窃取 攻击者控制OpenClaw后,可以:

  • 读取你的Notion笔记
  • 获取GitHub仓库访问权限
  • 查看飞书/Slack聊天记录
  • 导出所有配置文件

场景二:横向渗透 通过OpenClaw的SSH技能,攻击者可以:

  • 连接你的服务器
  • 部署恶意程序
  • 建立持久化后门

场景三:社会工程 利用你的Telegram/Discord技能:

  • 以你的身份发送钓鱼消息
  • 向你的联系人传播恶意链接
  • 骗取敏感信息

三、技术深度解析

3.1 漏洞根本原因

OpenClaw的本地网关设计存在一个架构级安全缺陷

设计决策 安全风险
默认监听0.0.0.0(所有接口) 不仅localhost,公网也可访问
默认密码简单易猜 暴力破解成本低
WebSocket无认证限制 任意网站可尝试连接
没有连接来源验证 无法区分合法/恶意请求

问题本质: OpenClaw在设计时优先考虑了便利性,而非安全性

3.2 为什么其他工具没有这个问题?

对比其他AI助手工具的安全设计:

工具 安全设计 结果
Claude Desktop 仅本地进程通信,不开放端口 无法远程攻击
GitHub Copilot 云端API调用,每次需认证 攻击面小
Cursor 本地端口+随机token验证 相对安全
OpenClaw (旧版) 开放端口+简单密码 高风险

教训: 本地AI工具的安全设计,应该参考浏览器扩展模型——最小权限 + 严格来源验证

四、OpenAI的回应与修复

4.1 官方修复

OpenClaw团队在24小时内发布了紧急补丁:

OpenClaw 2026.2.16 更新内容:

  1. 默认只监听127.0.0.1(禁止远程访问)
  2. 强制要求设置复杂密码(8位以上+大小写+数字)
  3. 添加WebSocket来源验证(只允许浏览器扩展连接)
  4. 增加暴力破解防护(5次错误密码锁定5分钟)
  5. 默认关闭高风险技能(SSH、系统命令等需手动启用)

4.2 争议点

尽管修复及时,但安全社区仍有批评:

质疑1:为什么默认配置不安全?

  • 类似于「出厂不设密码的路由器」
  • 安全意识应该内置,而非依赖用户

质疑2:为什么被收购后才出问题?

  • OpenClaw被OpenAI收购后更新频率下降
  • 安全审计明显不足

质疑3:事件响应是否透明?

  • 官方公告轻描淡写
  • 没有主动通知所有用户升级

五、你应该立即做什么

5.1 紧急检查清单

请立即执行(5分钟):

  • 检查OpenClaw版本:openclaw --version
  • 如果版本 < 2026.2.16,立即升级openclaw update
  • 检查网关配置:openclaw gateway status
  • 确认监听地址是127.0.0.1,不是0.0.0.0
  • 修改密码为强密码(12位以上)

进阶检查(15分钟):

  • 查看日志是否有异常连接:~/.openclaw/logs/gateway.log
  • 检查技能授权:删除不用的技能
  • 审查Notion/GitHub等敏感技能的访问范围
  • 开启双因素认证(如果支持)

5.2 安全加固建议

配置层面:

# ~/.openclaw/config.yml 建议配置
gateway:
  host: 127.0.0.1  # 仅本地访问
  port: 8080
  auth:
    password: "YourStrongPassword123!"  # 强密码
    max_retries: 3  # 最大重试次数
    lockout_duration: 300  # 锁定5分钟
  
security:
  allowed_origins:
    - "chrome-extension://*"  # 仅允许浏览器扩展
  
skills:
  risky_skills:
    - ssh
    - exec
    - file_system
  require_confirmation: true  # 高风险技能需确认

使用习惯:

  1. 不要在公共WiFi下使用OpenClaw
  2. 不要安装来源不明的技能
  3. 定期检查技能权限
  4. 敏感操作(SSH/文件删除)手动执行,不用自动化

六、更深层思考:AI工具的安全悖论

6.1 便利性与安全性的冲突

OpenClaw的设计哲学是「极致自动化」:

  • 一键安装技能
  • 无缝集成各种服务
  • 最小化用户干预

但安全的本质是「限制」

  • 限制访问范围
  • 增加验证步骤
  • 要求用户确认

悖论: 越方便的工具,往往越不安全。

6.2 AI助手的特殊风险

传统软件被入侵,损失是数据。 AI助手被入侵,损失是决策权

攻击者可以通过你的AI助手:

  • 以你的口吻回复邮件
  • 在你的代码里注入后门
  • 向你的团队发送虚假信息
  • 自动化执行恶意操作

AI助手不是「工具」,是「数字分身」。 分身被劫持,比账号被盗更可怕。

6.3 给AI工具开发者的建议

基于这次事件,我建议所有AI工具开发者:

安全设计原则:

  1. 默认安全:出厂即最严格配置
  2. 最小权限:只请求必要的权限
  3. 零信任:假设所有外部输入都可能是恶意的
  4. 透明审计:所有操作可记录、可追溯
  5. 快速响应:漏洞披露后24小时内修复

用户教育:

  • 首次使用强制安全设置向导
  • 定期安全提醒
  • 异常行为警告

七、事件后续影响

7.1 对OpenClaw生态的冲击

短期影响:

  • 部分企业用户暂停使用
  • 社区信任度下降
  • 竞品(如Claude Desktop)用户增长

长期影响:

  • 安全意识成为选型重要因素
  • 企业级版本需求增加(需SOC2认证)
  • 开源社区可能分化(安全派 vs 便利派)

7.2 对AI行业的启示

这次事件暴露了AI工具的一个系统性风险

当AI助手拥有越来越多权限时,它的安全性就等同于你的数字身份安全。

这要求:

  • 更严格的安全标准(类似金融级)
  • 独立的第三方安全审计
  • 行业层面的安全认证体系

结语

OpenClaw的ClawJacked漏洞,是一个警钟

它提醒我们:

  • AI工具的便利性不能牺牲安全性
  • 默认配置应该是安全的,不是方便的
  • 用户需要被教育,但更需要被保护

如果你正在使用OpenClaw,请立即升级到最新版本。 如果你正在考虑使用AI助手工具,请把安全性作为首要选型标准

技术的进步不应该以安全为代价。 便利的AI助手,首先应该是安全的AI助手。

安全资源:

本文基于Dark Reading、SecurityWeek、Infosecurity Magazine等安全媒体报道整理。

*Published on 2026-03-03 阅读时间:约 8 分钟*