你的AI助理安全嗎？ Oasis Security的研究人員在OpenClaw中發現了一個嚴重的ClawJacked漏洞，駭客可以透過一個簡單的瀏覽器標籤頁劫持AI代理。

對彼得·斯坦伯格和他的作品OpenClaw來說，過去的幾個月可謂風雲變幻。這款人工智慧工具可以作為開發者的私人助理，迅速走紅，不到一周就在 GitHub 上獲得了 10 萬顆星。它甚至吸引了 OpenAI 的薩姆·奧特曼的注意，奧特曼最近將斯坦伯格招入麾下，並稱讚他是一位天才。但據 Oasis Security 的研究人員稱，這種快速成功背後隱藏著危險。

Oasis Research 團隊剛剛發布了 ClawJacked ( CVE-2026-25253 ) 的詳細資訊。這是一個嚴重的漏洞鏈，它實際上允許任何網站控制用戶的 AI 代理。需要說明的是，這並非某個花俏的插件或可疑的下載造成的問題；而是軟體本身主網關的缺陷。由於該工具被設計為信任來自用戶自身電腦的連接，因此它為駭客敞開了大門。

無聲劫持

Oasis 的研究揭示了一個與 WebSocket 相關的巧妙技巧。通常情況下，瀏覽器能夠很好地阻止不同網站篡改本地文件。然而，WebSocket 是個例外，因為它們被設計成始終保持在線狀態，以便快速地來回傳輸資料。

研究人員指出，OpenClaw 閘道假定如果連接來自使用者自己的機器（本機主機），則一定是安全的。然而，這是一個危險的假設；如果執行 OpenClaw 的開發者不小心造訪了惡意網站，該頁面上的隱藏腳本可以透過WebSocket悄悄地與後台執行的 AI 工具通訊，用戶不會看到任何彈出視窗或警告。

證明威脅

為了展示問題的嚴重性，團隊建立了一個概念驗證模型來測試這種攻擊。他們示範了劫持過程，「使用者完全沒有察覺到任何異常」。在測試過程中，他們的腳本成功猜出了密碼，獲得了完整的權限，並開始從一個完全無關的網站與人工智慧代理進行互動。

攻擊速度之快令人震驚。軟體對同一台機器上的使用者嘗試密碼的次數沒有限制。研究人員在部落格文章中指出，他們每秒鐘可以嘗試數百個密碼，並得出結論：在這種速度下，「人為設定的密碼根本無法應對」。

修復方案

一旦腳本猜中密碼，攻擊者就獲得了管理員級別的權限，從這個位置，他們可以讀取私人 Slack 訊息、竊取 API 金鑰，甚至命令 AI 搜尋並從電腦中竊取檔案。

值得慶幸的是，OpenClaw 團隊的回應速度非常快。在得知問題後，團隊僅花了 24 小時就發布了修復程序。如果您正在使用此工具，為了安全起見，請立即更新至 2026.2.25 或更高版本。

就在本月早些時候，OpenClaw 社群市場中發現了 1000 多個惡意技能，這表明駭客正在專門針對這項新技術。

專家觀點

針對這項發現，Hackread.com分享了以下見解。 Noma Security首席資訊安全長Diana Kelley指出，這再次提醒我們，必須將人工智慧代理視為高度特權系統。核心問題在於對本地連接的過度信任。‘本地’並不意味著‘安全’，Kelley建議各組織嚴格審查其人工智慧工具如何處理身分驗證和使用者授權。

Cequence Security 的首席資訊安全長 Randolph Barr 指出，這個名為「ClawJacked」的漏洞凸顯了一個問題：產品實用性成長速度超過了安全性。設計重點在於盡可能簡化開發者的使用體驗……這加快了產品的普及速度，但也降低了防禦措施的有效性。Barr 警告說，在人工智慧時代，僅僅打個補丁可能遠遠不夠，因為這些智能體通常擁有用戶的全部權限。

SailPoint執行長馬克‧麥克萊恩(Mark McClain)總結道，這次事件應該給身分安全敲響警鐘。這些代理程式不再只是通訊工具，它們是功能強大、始終在線的身份標識，嵌入在關鍵工作流程中。麥克萊恩他強調，企業必須將人工智慧代理視為安全框架中的“一等公民”，並像對待人類員工一樣，對其採取同樣嚴格的安全措施。