資安研究機構 Oasis Security 近期揭露了熱門 AI 代理 (AI Agent) 平台 OpenClaw 存在一項高風險安全漏洞,代號為 「
ClawJacked」。該漏洞允許惡意網站利用瀏覽器特性,在使用者不知情的情況下,對其機台上運行的 OpenClaw 實例進行暴力破解並取得完全控制權。OpenClaw 官方已於 2026 年 2 月 26 日釋出 2026.2.26 版本修補此缺陷。
WebSocket 缺乏跨來源保護成攻擊破口
根據研究顯示,ClawJacked 漏洞源於 OpenClaw 閘道器服務 (Gateway Service) 的設計缺陷。該服務預設監聽本地端 (Localhost) 位址,並開放一個 WebSocket 介面供連線存取。
在傳統的網頁安全模型中,跨來源資源共用 (CORS) 會限制瀏覽器從一個來源存取另一個來源的資源。然而,當前瀏覽器的跨來源原則 (Cross-Origin Policies) 並不會阻擋對 localhost 的 WebSocket 連線。這意味著,當開發者在瀏覽器中開啟受駭網站時,頁面內含的 JavaScript 腳本可靜默地與本地端 OpenClaw 閘道器建立連線,且整個過程完全不會觸發任何瀏覽器警告。
本地端豁免機制導致暴力破解防禦失效
雖然 OpenClaw 具備速率限制 (Rate Limiting) 機制來防禦外部暴力破解攻擊,但在預設配置下,系統將回環位址 (Loopback Address, 127.0.0.1) 視為信任來源並予以豁免。這項設計本意是為了避免本地命令列介面 (CLI) 階段作業因誤觸機制而被鎖定,卻意外成為駭客入侵的綠色通道。
研究人員指出,
透過瀏覽器的 JavaScript 腳本,攻擊者能以每秒數百次的頻率嘗試 OpenClaw 管理員密碼,且這些失敗的登入嘗試既不會被攔截,也不會留下稽核紀錄。在實驗環境中,常見的弱密碼清單僅需不到一秒即可窮舉完成,即使是複雜的人為密碼,也可能在數分鐘內遭破解。
自動授權機制與後續影響
一旦暴力破解成功取得身分驗證,攻擊者便能利用 OpenClaw 對本地連線的「過度信任」進行深度滲透。系統會自動批准來自 localhost 的新裝置配對請求,完全不需經過使用者確認。
取得管理員權限後,攻擊者即可直接與 AI 平台互動,其潛在威脅包括:
- 憑證與紀錄竊取: 傾印 (Dump) 系統內的各項服務憑證,或讀取應用程式日誌。
- 敏感資料外洩: 指令 AI 代理搜尋通訊軟體的對話紀錄,或從已連線的設備中竊取檔案。
- 遠端程式碼執行 (RCE): 在所有已配對的節點上執行任意 Shell 指令,導致工作站全面失守。
建議修補與防禦行動
OpenClaw 在接獲通報後 24 小時內已完成修復。新版本強化了 WebSocket 安全檢查,並新增額外防護層以防止惡意利用 localhost 連線規避速率限制。
由於 AI 代理通常具備存取多個企業系統的高度權限,其受駭後的「爆炸半徑 (Blast Radius)」極大。微軟 (Microsoft) 等資安專家建議,OpenClaw 等自託管 AI 工具應視為「具備持續性憑證存取權的不信任代碼執行環境」。除了立即升級至最新版本外,企業應考慮將此類工具部署在隔離的虛擬機器 (VM) 中,並落實非人稱身分 (Non-human Identity) 的治理與稽核,以降低資安風險。