OpenClaw 一键远程代码执行漏洞深度解析

摘要

本文披露了OpenClaw（原Moltbot）AI助手中的严重安全漏洞。depthfirst安全团队通过代码审计发现，该应用存在逻辑缺陷：攻击者可通过恶意URL注入网关地址，窃取用户认证令牌。作者进一步利用WebSocket源站验证缺失和API权限过大的问题，构建了完整攻击链，实现只需用户访问恶意网页即可获得本地计算机的完整控制权限。该漏洞影响v2026.1.24-1及之前所有版本。

内容框架与概述

文章首先介绍了OpenClaw作为AI个人助手的普及度和其拥有的敏感权限，为漏洞影响奠定了基础。接着详细说明了depthfirst系统如何通过分析代码库中的数据流，发现app-settings.ts无验证接受URL参数、app-lifecycle.ts自动连接网关、gateway.ts泄露认证令牌这三个看似独立但组合起来致命的操作。

文章核心部分展示了作者如何绕过三个关键限制：通过跨站WebSocket劫持突破本地网络隔离，利用 stolen token的operator权限禁用用户确认机制和沙箱保护，最终实现完全的远程代码执行。作者特别强调了浏览器对WebSocket不实施同源策略这一特殊行为在攻击中的关键作用。

最后部分提供了完整的攻击流程演示，包括从受害者访问恶意页面到攻击者获得系统控制权的毫秒级过程。文章指出OpenClaw团队已快速响应并修复漏洞，建议用户立即升级至最新版本并轮换可能泄露的令牌。

核心概念及解读

跨站WebSocket劫持（CSWSH）：浏览器对WebSocket连接不实施同源策略，导致恶意网站可直接向localhost发起连接。攻击者利用此漏洞绕过本地网络隔离，将受害者浏览器作为跳板访问本地服务。

认证令牌泄露：应用在URL参数中接受网关地址后自动连接并携带认证令牌，导致攻击者可通过构造恶意URL截获用户的敏感凭证，进而获得完全API访问权限。

权限提升：利用stolen token拥有的operator.admin和operator.approvals权限，攻击者可调用API禁用用户确认提示和沙箱限制，无需绕过沙箱实现即可获得主机级别的命令执行能力。

原文信息

此摘要卡片由 AI 自动生成