AI 助手OpenClaw 易遭一次点击 RCE 攻击
聚焦源代码安全网罗国内外最新资讯编译代码卫士OpenClaw的开发人员最近修复了一个严重漏洞CVE-2026-25253。攻击者可利用该漏洞诱骗用户访问恶意网站劫持该热门AI助手。OpenClaw此前被称为“Clawdbot” 和 “Moltbot”是一款开源的自托管AI智能体可自动执行终端命令、管理文件系统以及协调通讯应用之间的复杂工作流。安全公司 DepthFirst 的研究员最近发现OpenClaw 受该漏洞影响可导致攻击者获得用户的认证令牌从而连接到受害者的 OpenClaw 实例。该漏洞已在最近发布的版本2026.1.29中修复。OpenClaw 公司的开发人员在一份安全公告中提到“这是一个令牌盗取漏洞可导致网关遭完全攻陷。它影响用户在 Control UI上经过身份认证的任何 Moltbot 部署。攻击者获得了对该网关API的操作权限因此能够在网关主机上执行任意配置变更和代码执行。”研究人员已详细解释了该攻击的运行流程。攻击者只需诱骗受害者访问一个恶意网站就能启动攻击。该攻击的站点只在受害者浏览器中执行 JavaScript获得OpenClaw 认证令牌并将其发送给攻击者。该攻击者站点还执行代码以建立与本地主机的 WebSocket 连接通过被盗令牌启用身份验证。之后攻击者可禁用沙箱隔离通过用户确认危险命令的执行。由于OpenClaw 在系统上提权并获得访问数据和应用的权限因此攻击者可获得对受害者有价值信息的访问权限并利用该 AI 助手执行任意命令并控制主机。虽然 OpenClaw 仅诞生几个月但这并非它首次出现的安全问题。1月下旬Jamieson O’Reilly 演示表明威胁行动者可利用 OpenClaw 访问高度敏感信息、在主机系统上执行命令并操纵用户。思科安全研究员也从中发现了严重漏洞并提醒企业称 OpenClaw 可能是一个“安全噩梦”。开源卫士试用地址https://oss.qianxin.com/#/login代码卫士试用地址https://sast.qianxin.com/#/login推荐阅读数百个 Clawdbot 网关遭暴露API密钥和私密聊天受影响众多AI 编程工具存在30漏洞可导致数据被盗和RCEOpenAI 编程代理中高危漏洞可用于攻击开发人员第三方供应商导致OpenAI客户数据遭泄露原文链接https://www.securityweek.com/vulnerability-allows-hackers-to-hijack-openclaw-ai-assistant/题图Pixabay License本文由奇安信编译不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。奇安信代码卫士 (codesafe)国内首个专注于软件开发安全的产品线。觉得不错就点个 “在看” 或 赞” 吧~

相关新闻

假照放、单照接,阿里国际站帮外贸商家实现“春节躺赚”

假照放、单照接,阿里国际站帮外贸商家实现“春节躺赚”

“老外为什么过年不放假?!”“大过年的,来了订单还接不接?!” 过去,这一直是一个让外贸商家“左右为难”的问题。但今年春节,单子可以照常接,发货交给阿里国际站。由此,…

2026/7/4 18:16:34 阅读更多 →
观察世界的坐标:股市

观察世界的坐标:股市

观察世界的坐标:股市 📊 股市的几大核心板块🌍 为什么说“认识股市就能了解世界”?🏆 “股市的胜利也是自己认知的胜利”💎 总结📚 各层次核心要点详解**第一层:基础知识&#xff08…

2026/7/4 16:22:19 阅读更多 →
统计学必备知识:双变量正态投影解析

统计学必备知识:双变量正态投影解析

原文:towardsdatascience.com/must-know-in-statistics-the-bivariate-normal-projection-explained-ace7b2f70b5b 引言 在统计学和机器学习中,理解变量之间的关系对于构建预测模型和分析数据至关重要。探索这些关系的基本技术之一是双变量投影&#xf…

2026/7/3 13:04:04 阅读更多 →

最新新闻

智能汽车板级接口与存储系统核心技术解析

智能汽车板级接口与存储系统核心技术解析

1. 智能汽车板级接口技术全景解析 作为一名在汽车电子领域深耕多年的工程师,我见证了车载电子系统从简单的ECU控制到如今复杂域控制器的演进历程。现代智能汽车的"大脑"——域控制器内部,各类芯片间的通信架构设计直接决定了系统性能上限。让我…

2026/7/5 10:37:10 阅读更多 →
AI服务合规网关实战:GDPR日志脱敏、国密SM4加密与审计追踪

AI服务合规网关实战:GDPR日志脱敏、国密SM4加密与审计追踪

1. 项目概述:一场迫在眉睫的合规风暴最近在排查一个线上AI服务的问题时,我遇到了一个典型的报错:cc switch deepseek unexpected status 502 bad gateway: unknown error, url: ht...。这个错误本身指向的是服务网关的切换或配置问题&#xf…

2026/7/5 10:35:10 阅读更多 →
光伏逆变器LVRT技术:Boost+NPC拓扑设计与控制策略

光伏逆变器LVRT技术:Boost+NPC拓扑设计与控制策略

1. 光伏逆变器低电压穿越技术概述 光伏发电系统在电网电压骤降时能否保持并网运行,直接关系到整个电力系统的稳定性。低电压穿越(LVRT)技术就是让逆变器在电网电压跌落时,不仅不脱网还能向电网提供无功功率支撑的关键能力。传统方案中,当检测…

2026/7/5 10:33:10 阅读更多 →
Allen Bradley 80190-378-51/12控制器板功能与应用解析

Allen Bradley 80190-378-51/12控制器板功能与应用解析

1. Allen Bradley 80190-378-51/12控制器板概述Allen Bradley 80190-378-51/12控制器板是罗克韦尔自动化旗下Allen-Bradley品牌推出的一款工业级控制电路板。作为自动化控制系统中的核心组件,它主要负责信号采集、逻辑运算和设备控制等功能。这款控制器板采用成熟的…

2026/7/5 10:31:10 阅读更多 →
解锁网易云音乐加密格式:ncmdump工具的全面应用指南

解锁网易云音乐加密格式:ncmdump工具的全面应用指南

解锁网易云音乐加密格式:ncmdump工具的全面应用指南 【免费下载链接】ncmdump 项目地址: https://gitcode.com/gh_mirrors/ncmd/ncmdump 你是否曾经遇到过这样的困扰:在网易云音乐下载的歌曲只能在特定应用内播放,无法在其他设备或播…

2026/7/5 10:31:10 阅读更多 →
I型NPC三电平逆变器SVPWM仿真设计与控制策略

I型NPC三电平逆变器SVPWM仿真设计与控制策略

1. I型NPC三电平逆变器SVPWM仿真设计概述在电力电子领域,三电平逆变器因其输出电压谐波含量低、开关损耗小等优势,已成为中高压大功率应用的首选拓扑结构。I型NPC(Neutral Point Clamped)三电平逆变器通过钳位二极管将直流母线中点…

2026/7/5 10:29:09 阅读更多 →

日新闻

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容 【免费下载链接】BiliTools A cross-platform bilibili toolbox. 跨平台哔哩哔哩工具箱,支持下载视频、番剧等等各类资源 项目地址: https://gitcode.com/GitHub_Trending/bilit/BiliTools …

2026/7/5 0:03:34 阅读更多 →
威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型的陌生现状在忙碌疲惫的一天里,参与了关于混合后量子密码学的讨论,应付端点攻击找茬的人,还参与留言板讨论后,发现“威胁模型”对多数人仍是陌生概念,且多被当作时髦用语。有趣的相关画作有一幅由 Embyr 创作的…

2026/7/5 0:03:34 阅读更多 →
渗透测试入门指南:从零基础到实战环境搭建

渗透测试入门指南:从零基础到实战环境搭建

1. 从“看热闹”到“入门”:我理解的渗透测试到底是什么?每次看到新闻里说某个大公司的数据被“黑”了,或者某个网站被攻击导致服务瘫痪,你是不是和我一样,心里会冒出两个念头:一是“这黑客真厉害”&#x…

2026/7/5 0:07:38 阅读更多 →

周新闻

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容 【免费下载链接】BiliTools A cross-platform bilibili toolbox. 跨平台哔哩哔哩工具箱,支持下载视频、番剧等等各类资源 项目地址: https://gitcode.com/GitHub_Trending/bilit/BiliTools …

2026/7/5 0:03:34 阅读更多 →
威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型的陌生现状在忙碌疲惫的一天里,参与了关于混合后量子密码学的讨论,应付端点攻击找茬的人,还参与留言板讨论后,发现“威胁模型”对多数人仍是陌生概念,且多被当作时髦用语。有趣的相关画作有一幅由 Embyr 创作的…

2026/7/5 0:03:34 阅读更多 →
渗透测试入门指南:从零基础到实战环境搭建

渗透测试入门指南:从零基础到实战环境搭建

1. 从“看热闹”到“入门”:我理解的渗透测试到底是什么?每次看到新闻里说某个大公司的数据被“黑”了,或者某个网站被攻击导致服务瘫痪,你是不是和我一样,心里会冒出两个念头:一是“这黑客真厉害”&#x…

2026/7/5 0:07:38 阅读更多 →

月新闻