一月底正式上线并迅速走红的开源AI代理平台OpenClaw（曾用名Clawdbot、Moltbot）吸引了大量用户部署，然而安全公司发现，用户浏览的网站可能借此平台实施劫持。

安全公司Oasis Security近日披露OpenClaw存在一个名为ClawJacked的高危安全漏洞（尚未分配CVE编号，也无CVSS风险评分）。攻击者只需诱使用户访问恶意网站，在无需用户下载、点击或安装任何扩展程序的情况下，即可暗中接管其本地运行的AI代理系统。目前该问题已向OpenClaw开发团队通报，OpenClaw也已于2026.2.25版本完成修复。

ClawJacked漏洞的核心在于OpenClaw启动时创建的本地网关服务。该服务通过WebSocket监听本地（localhost）连接，原本设计用于浏览器界面与AI代理之间的通信。但Oasis Security发现，攻击者可利用恶意网站中的JavaScript代码，尝试连接本地的WebSocket服务，而浏览器的同源策略（same-origin policy）并不会阻止此类连接。

此外，该网关服务对来自本地的认证请求未实施严格的速率限制，导致攻击者可通过浏览器在后台执行暴力破解，猜解出访问密码并登录OpenClaw。一旦成功，攻击者即可将恶意程序注册为受信任设备，获得持久控制权限。

研究人员公布了利用ClawJacked漏洞的攻击流程：首先，攻击者诱导受害者访问恶意网站；当用户访问后，网站脚本立即尝试连接本地OpenClaw服务，并通过暴力破解获取访问权限；最终在用户毫无察觉的情况下，完全掌控AI代理系统。由于OpenClaw可能存储云服务密钥、数据库凭证或企业内部API权限，一旦被劫持，影响范围可能从个人设备迅速蔓延至整个企业网络。

值得注意的是，此类攻击仅通过浏览器与本地服务的交互机制即可实现，表明新一代AI工具在设计时若忽视本地服务的安全暴露风险，可能成为攻击者的新突破口。

在收到通报后，OpenClaw开发团队已迅速发布修复版本，强化了本地身份验证与连接控制机制。Oasis Security建议用户：除立即升级至最新版本外，应避免在高权限工作站上直接运行具有广泛系统访问权限的AI代理工具；必要时，建议在虚拟机或隔离环境中运行，以降低安全风险。

此前，OpenClaw开发团队曾公告并修复另一个高危漏洞，引发广泛关注。该漏洞为需用户点击触发的远程代码执行（RCE）漏洞，存在于控制界面Control UI建立连接的过程中。攻击者可通过特制网站或恶意链接诱导用户访问，一旦浏览器加载网页，OpenClaw便会自动连接至攻击者控制的服务器，泄露浏览器中存储的网关认证令牌（Token）。该漏洞已于2026.1.29版本修复，并被正式登记为CVE-2026-25253，CVSS风险评分为8.8分。