惊魂零点击！OpenClaw漏洞（ClawJacked）突袭，开发者AI Agent遭无声劫持

在AI Agent快速普及、成为开发者高效辅助工具的当下，一场针对开发者群体的高危零交互攻击悄然爆发。OpenClaw 0-Click漏洞（代号ClawJacked，CVE-2026-25253）凭借“零点击、全静默、高权限”的特性，成为AI工具生态中极具破坏性的安全隐患——攻击者无需诱导用户点击、安装插件或确认弹窗，仅需让开发者访问一个恶意网页，就能轻松劫持其本地运行的OpenClaw AI Agent，进而获取系统级控制权，窃取核心开发资产、执行恶意命令，对个人开发者、企业研发团队造成不可挽回的损失。作为AI Agent领域首个被公开披露的高危零点击漏洞，ClawJacked不仅暴露了OpenClaw的设计缺陷，更给整个AI工具生态敲响了安全警钟。

本文将从漏洞核心原理、完整攻击链路、潜在危害、根本成因、修复防护方案五个维度，进行专业、全面的解析，并结合行业现状给出前瞻性警示，帮助开发者、企业快速识别风险、筑牢安全防线。

一、漏洞核心原理（深度解析）

OpenClaw 0-Click漏洞的本质，是其本地网关设计存在三大致命逻辑缺陷，叠加浏览器对本地回环地址（localhost）的跨源访问特性，形成了可被攻击者利用的攻击路径，核心原理可概括为：默认信任localhost连接+无防护的身份验证+自动批准配对机制，三者叠加让恶意网页脚本可无缝突破本地安全边界，接管AI Agent。

具体来说，OpenClaw的本地网关作为AI Agent与外部交互的核心入口，默认将localhost（本地回环地址）视为“绝对安全”的访问来源，未对来自localhost的连接进行任何Origin（来源域名）校验——这意味着，任何网页（包括恶意网页）中的JavaScript脚本，都可通过浏览器向OpenClaw的本地端口发起WebSocket连接，而浏览器不会对跨源访问localhost的请求进行拦截（这是浏览器的默认行为，旨在方便本地服务调试）。

更关键的是，OpenClaw对localhost连接豁免了所有安全限制：一方面，身份验证环节未设置暴力破解防护，既没有速率限制，也没有失败次数锁定、日志记录机制，攻击者可通过脚本每秒发起数百次密码猜测，直至破解成功；另一方面，一旦密码破解完成，网关会自动将发起连接的设备注册为“受信管理员设备”，无需用户手动确认、无需弹窗提示，全程静默完成配对，最终让攻击者获得管理员级权限，完全掌控AI Agent。

二、完整攻击链（零点击、全静默，可复现路径）

ClawJacked漏洞的攻击链极为简洁，全程无需用户任何交互，且无任何感知，攻击者仅需完成“诱导访问”这一个动作，即可实现从网页访问到AI Agent接管的全流程，具体攻击步骤如下，每一步均为静默执行，受害者无法察觉：

1. 攻击触发（零交互起点）：攻击者通过邮件、社交软件、第三方链接等方式，诱导开发者访问一个恶意网页（或被植入恶意脚本的正常网页）。开发者仅需打开该网页，无需点击任何按钮、下载任何文件，攻击即开始触发——这也是“零点击”的核心体现，降低了攻击者的诱导成本，提高了攻击成功率。

2. 跨源WebSocket连接建立：恶意网页中的JavaScript脚本，会自动向OpenClaw本地网关的默认端口（通常为8080、8081，部分版本为自定义端口）发起WebSocket连接。由于浏览器默认允许跨源访问localhost，该连接不会被浏览器拦截，可直接建立通信通道，成为攻击者控制本地AI Agent的“桥梁”。

3. 无限制暴力破解密码：连接建立后，脚本会自动执行密码暴力破解逻辑。由于OpenClaw对localhost连接豁免了速率限制，脚本可每秒发起数百次甚至上千次密码猜测请求，且破解失败后不会触发账号锁定、不会记录日志，也不会向用户发送任何提示。即便开发者设置了中等复杂度的密码，也能在短时间内被破解（若使用弱密码，破解时间可缩短至秒级）。

4. 静默注册受信管理员设备：密码破解成功后，恶意脚本会向OpenClaw网关发送“设备注册”请求。由于OpenClaw默认“localhost连接即安全”，网关会自动批准该请求，将恶意脚本对应的设备（即开发者当前使用的浏览器进程）注册为“管理员级受信设备”，全程无弹窗、无确认提示，受害者完全不知情。

5. 完全接管AI Agent（核心攻击目标）：获得管理员权限后，攻击者可通过WebSocket通道，向AI Agent发送任意指令，实现全方位控制——包括但不限于读取本地文件、执行系统命令、窃取敏感凭证等，相当于间接获得了开发者设备的系统级控制权，攻击链闭环完成。

值得注意的是，整个攻击过程耗时极短（通常在10秒以内，取决于密码复杂度），且无任何日志记录，受害者即便发现设备异常，也难以追溯攻击源头，给后续溯源、取证带来极大困难。

三、可造成的危害（开发者高危，覆盖个人与企业）

OpenClaw AI Agent作为开发者常用的辅助工具，通常具备与用户等同甚至更高的系统权限，可访问开发者的代码库、密钥、配置文件等核心资产，因此该漏洞造成的危害极具针对性，且破坏性极强，覆盖个人开发者和企业研发团队，具体可分为五大类：

1. 敏感凭证窃取（核心危害）：AI Agent通常会被开发者用于辅助编写代码、管理项目，因此会访问Slack、Notion、GitHub、GitLab等工具，以及云服务（AWS、阿里云、腾讯云等）、数据库的API Key、访问密钥、密码等核心凭证。攻击者接管AI Agent后，可直接搜索并窃取这些凭证，进而入侵开发者的代码库、云服务器、数据库，造成核心资产泄露。

2. 本地文件读取与外传：攻击者可通过AI Agent，读取开发者本地设备中的所有文件，包括源代码、项目文档、私密笔记、合同文件、个人信息等，并将这些文件静默外传至攻击者的服务器。对于企业研发人员而言，这可能导致核心技术泄露、商业机密外泄，造成巨大的经济损失和声誉损失。

3. 远程代码执行（RCE），接近整机控制：借助AI Agent的高权限，攻击者可发送指令让AI Agent执行任意系统命令（如Windows的cmd命令、Linux的bash命令），实现远程代码执行。这意味着攻击者可在开发者设备上安装恶意软件、创建后门、控制设备摄像头/麦克风，甚至格式化硬盘，完全掌控设备，对开发者的个人隐私和设备安全造成毁灭性打击。

4. 控制所有关联节点：OpenClaw AI Agent支持多设备同步（如 macOS、Windows 客户端、移动设备、服务器节点），攻击者接管一个设备上的AI Agent后，可进一步渗透到所有关联设备和节点，形成“连锁攻击”，扩大攻击范围——对于企业而言，可能导致整个研发团队的设备被劫持，研发流程中断。

5. 攻击全程无感知，难以察觉与溯源：整个攻击过程无弹窗、无提示、无日志记录，受害者无法通过常规方式发现设备被入侵。即便后续发现资产泄露、设备异常，也难以追溯攻击时间、攻击路径和攻击者身份，给安全应急响应带来极大挑战。

此外，该漏洞的攻击成本极低，攻击者无需具备高深的技术能力，仅需编写简单的JavaScript脚本、搭建恶意网页，即可发起攻击，这也意味着该漏洞可能被大规模滥用，成为针对开发者群体的“批量攻击工具”。

四、根本原因（三大设计缺陷，源于安全意识缺失）

ClawJacked漏洞的爆发，并非偶然，而是OpenClaw开发团队在产品设计阶段，对“本地安全”的认知存在严重偏差，忽视了AI Agent高权限特性带来的安全风险，最终导致三大致命设计缺陷，为攻击者提供了可乘之机：

1. 认知误区：localhost即绝对安全：开发团队默认“来自本地的连接都是安全的”，未对localhost连接进行任何Origin校验。这一认知误区是漏洞的核心根源——随着浏览器技术的发展，跨源访问localhost已成为常态，恶意网页脚本可轻松借助这一特性，向本地服务发起攻击，而OpenClaw未做任何防护，相当于直接向攻击者敞开了本地安全大门。

2. 防护缺失：本地连接豁免所有安全限制：为了方便开发者调试，OpenClaw对localhost连接豁免了速率限制、密码失败锁定、日志记录等所有安全防护机制。这一设计看似提升了开发体验，却为暴力破解提供了便利——攻击者可通过脚本快速猜测密码，无需担心被拦截或追溯，极大降低了攻击难度。

3. 流程漏洞：本地设备配对免用户确认：OpenClaw默认“localhost发起的设备配对请求都是可信的”，无需用户手动确认，即可自动注册为受信设备并授予管理员权限。这一流程漏洞让攻击者在破解密码后，可无缝接管AI Agent，无需任何用户交互，实现“静默接管”，进一步放大了漏洞的破坏性。

本质上，这些设计缺陷源于开发团队“重功能、轻安全”的理念——在追求AI Agent的易用性和开发效率时，忽视了安全设计的重要性，尤其是对AI Agent这类高权限工具而言，任何一个微小的安全漏洞，都可能被攻击者利用，造成严重的后果。

五、修复与防护（分级实施，立即执行，降低风险）

针对ClawJacked漏洞，OpenClaw官方已在24小时内发布紧急修复版本，开发者和企业需立即采取行动，通过“官方修复+临时防护”的方式，全面封堵漏洞，降低被攻击风险。以下是分级实施的修复与防护方案，兼顾时效性和全面性：

（一）官方修复（最有效、最优先，彻底封堵漏洞）

OpenClaw官方已发布版本2026.2.25，该版本针对漏洞的三大设计缺陷，进行了全面修复，开发者需立即升级至该版本及以上，具体修复内容如下：

1. 启用localhost连接的严格防护：对来自localhost的连接，新增速率限制（默认每秒最多5次密码尝试），同时设置密码失败锁定机制（连续10次失败，锁定10分钟），并完善日志记录，便于后续溯源和监控。

2. 新增Origin校验机制：对WebSocket连接进行严格的Origin校验，仅允许信任域名（如OpenClaw官方域名、开发者自定义的信任域名）发起连接，拒绝所有恶意网页的跨源连接请求，从源头阻断攻击路径。

3. 修改设备配对流程：本地设备配对不再自动批准，必须由用户手动确认（弹出确认弹窗，显示设备信息、连接来源），只有用户确认后，才能注册为受信设备，杜绝静默配对带来的风险。

温馨提示：升级前建议备份AI Agent的配置文件和敏感数据，避免升级过程中出现数据丢失；升级后，需重新设置AI Agent的密码（建议使用16位以上随机字符的强密码），并检查已配对的设备，删除陌生设备。

（二）临时防护（未升级前，紧急降低风险）

对于暂时无法升级（如企业内部有版本管控、依赖兼容问题）的开发者和企业，需立即采取以下临时防护措施，阻断攻击路径，降低被攻击风险：

1. 暂停使用或断开网络使用：立即停止使用OpenClaw AI Agent；若确需使用，可断开设备网络（离线使用），避免恶意网页通过网络发起攻击。

2. 拦截OpenClaw本地端口：通过系统防火墙（Windows防火墙、macOS防火墙），拦截OpenClaw本地WebSocket端口（默认8080、8081，可通过OpenClaw配置查看具体端口），禁止外部程序（尤其是浏览器）访问该端口，从物理层面阻断攻击连接。

3. 强化密码安全：将OpenClaw的密码修改为16位以上、包含大小写字母、数字、特殊字符的强密码，且定期（建议每周）更换，增加暴力破解的难度。

4. 拦截跨源WebSocket连接：在浏览器中安装安全扩展（如NoScript、uBlock Origin高级版），配置规则拦截所有非信任域名发起的WebSocket连接，尤其是针对localhost的跨源连接，进一步阻断恶意脚本的攻击。

5. 加强设备监控：定期检查设备的进程、网络连接，查看是否有陌生进程访问OpenClaw端口，是否有异常文件外传、异常命令执行等情况，及时发现潜在的攻击行为。

（三）长期防护（建立长效安全机制，防范同类漏洞）

ClawJacked漏洞并非个例，随着AI Agent的普及，同类本地网关漏洞可能会持续出现。开发者和企业需建立长效安全机制，从源头防范此类漏洞，具体建议如下：

1. 树立“零信任”理念：摒弃“localhost即安全”的认知误区，对所有连接（包括本地连接）都进行严格的身份验证和权限管控，不默认信任任何来源。

2. 定期更新软件版本：及时关注OpenClaw及其他AI工具的官方更新，一旦发布安全补丁，立即升级，避免因版本落后导致漏洞被利用。

3. 强化权限管控：为AI Agent设置最小权限，避免授予系统级、管理员级权限，仅开放其正常功能所需的权限，降低漏洞被利用后的破坏性。

4. 加强安全意识培训：开发者需提升自身安全意识，不随意访问陌生链接、不打开可疑邮件附件，避免被攻击者诱导，从源头减少攻击触发的可能。

六、行业前瞻性警示（AI Agent安全，刻不容缓）

ClawJacked漏洞的爆发，给快速发展的AI Agent生态敲响了安全警钟——随着AI Agent逐渐成为开发者、企业的核心工具，其高权限特性已成为攻击者的重点目标，而“重功能、轻安全”的设计理念，正在给整个行业带来巨大的安全风险。结合该漏洞，我们提出以下三点前瞻性警示，供行业参考：

1. AI Agent = 高权限入口，必须纳入零信任架构管理：AI Agent作为可访问用户核心资产、执行系统命令的工具，其安全等级应等同于服务器、数据库等核心设备，必须纳入企业零信任架构管理。无论是本地部署还是云端部署，都需建立严格的身份验证、权限管控、访问审计机制，摒弃“默认信任”的设计，从源头防范漏洞。

2. 本地服务不再是安全孤岛，跨源防护需全面升级：随着浏览器技术的发展，跨源访问localhost已成为常态，本地服务不再是“安全孤岛”。所有本地网关、API服务（尤其是AI工具、开发辅助工具），都需加强跨源防护，新增Origin校验、速率限制、身份验证等机制，避免被恶意网页脚本利用。

3. 零点击攻击常态化，AI工具安全设计必须前置：随着攻击者技术的升级，零点击、全静默攻击已逐渐常态化，尤其是针对开发者群体的攻击，往往具备“低成本、高收益”的特点。AI工具开发团队需将安全设计前置，在产品设计、开发、测试阶段，全面排查本地连接、身份验证、权限管控等环节的安全漏洞，避免因设计缺陷导致漏洞爆发；同时，建立应急响应机制，一旦发现漏洞，快速发布修复补丁，降低用户损失。

未来，随着AI Agent的功能不断丰富、应用场景不断拓展，其安全风险也将持续增加。唯有重视安全设计、建立长效防护机制、提升行业安全意识，才能推动AI Agent生态健康发展，避免类似ClawJacked漏洞的安全事件再次发生。

总结

OpenClaw 0-Click漏洞（ClawJacked）是AI Agent领域首个高危零点击漏洞，其“零交互、全静默、高破坏”的特性，给开发者和企业带来了极大的安全风险。该漏洞的本质是产品设计阶段的安全缺失，三大致命设计缺陷叠加，让攻击者可通过恶意网页轻松接管AI Agent，窃取核心资产、控制设备。

目前，官方已发布修复版本，开发者和企业需立即升级，并采取临时防护措施，全面封堵漏洞；同时，需树立零信任理念，建立长效安全机制，防范同类漏洞。此次事件也警示整个AI工具行业：安全是产品的底线，唯有将安全设计融入产品全生命周期，才能实现AI技术的可持续发展，真正为用户创造价值。