ClawJacked事件始末：当最火的AI框架遭遇严重安全漏洞

2026 年 2 月下旬，就在 OpenClaw 的 GitHub Star 数突破 20 万的同一周，一个被安全研究者命名为 “ClawJacked” 的漏洞被公开披露。

漏洞等级：严重。影响范围：几乎所有运行旧版本的 OpenClaw 用户。

这是一次对整个 OpenClaw 社区的信任考验，也是理解”本地 AI Agent 安全边界”的最好案例。

漏洞的本质：被遗忘的本地端口

要理解 ClawJacked，先要理解 OpenClaw 的运行方式。

OpenClaw 的 Gateway 是一个常驻后台的 Node.js 进程，默认监听 127.0.0.1:18789。这是一个本地端口——只有你本机上的程序才能访问。理论上，外部的攻击者无法直接连进来。

ClawJacked 的攻击路径不走外部，它走的是浏览器。

攻击流程：

接管之后，攻击者拥有的权限和你一样多：读写本地文件、执行系统命令、访问你配置的所有外部服务。

这不是理论漏洞。安全研究者演示了完整的攻击链，从”用户访问恶意网站”到”攻击者在用户电脑上执行任意命令”，整个过程可以在用户毫不知情的情况下完成。

ClawJacked 不是 OpenClaw 遭遇的第一个严重漏洞。早在 2026 年 1 月底，安全研究者就发现了 CVE-2026-25253。

这个漏洞存在于 OpenClaw 的控制界面（Control UI）。攻击者只需诱导用户点击一个恶意链接，就能实现一键远程代码执行（RCE），同时窃取用户在 OpenClaw 中保存的 API 密钥和凭证。

RCE 是漏洞界的”最高级别”威胁之一——攻击者可以在你的机器上执行任意代码，相当于拿到了你电脑的遥控器。

这个漏洞在 v2026.1.29 版本中被紧急修补，从发现到修复只用了不到 48 小时。

除了框架本身的漏洞，安全公司还记录了一类针对普通用户的社会工程学攻击：

攻击者制作了大量假冒的 OpenClaw 安装包，主要针对 Windows 用户，文件名通常是 OpenClaw_x64.exe 或 OpenClaw-Setup.exe。这些文件在外观上与官方安装包几乎完全一致，但安装后会在后台静默运行两类恶意软件：

这些假冒安装包通过搜索引擎广告、技术论坛帖子、YouTube 教程评论区传播，受害者往往是刚听说 OpenClaw、搜索”如何安装”的普通用户。

对于以上每个漏洞，OpenClaw 团队的修复速度都称得上迅速。从 2026 年 1 月到 3 月，项目连续发布了多个安全补丁版本，修复了包括 WebSocket 共享认证漏洞、工作区插件自动加载漏洞、Telegram Webhook 预认证漏洞等在内的多个问题。

但批评声音也有：有开发者在 GitHub 上指出，部分安全公告发布太晚，用户在补丁发布前没有收到足够的预警。而且漏洞的 CVE 编号申请和官方安全公告之间存在明显的时间差，这意味着在 CVE 正式公开后、官方公告发出前，攻击者可能已经在利用漏洞了。

网络安全媒体 Cybersecurity News 甚至发文指出，OpenClaw 的”Advisory Surge“（安全公告激增）暴露了大型开源项目在 GitHub Issue 体系和 CVE 官方体系之间的协调漏洞。

如果你正在使用 OpenClaw，现在需要做的事情很具体：

ClawJacked 事件的意义不只在于技术层面。它揭示了 AI Agent 这类工具的一个结构性安全挑战：

传统软件出了漏洞，最坏情况是数据泄露。但 AI Agent 框架出了漏洞，攻击者拿到的不只是数据——而是一个能自主行动的 Agent。攻击者可以让被劫持的 Agent 自主执行各种操作，危害范围远超普通软件漏洞。

这不是反对使用 OpenClaw 的理由，而是提醒我们：当工具的能力越来越强，对安全的要求也必须相应提高。一个能帮你干活的 Agent，和一个能替你”搞破坏”的 Agent，在技术上是同一个东西——区别只在于谁在控制它。

相关阅读：

#Agent #ClawHub #GitHub #OpenClaw #Telegram #安全 #开源 #插件