引言：安全研究員首次觀察到 OpenClaw 的 WebSocket 劫持 threat

2026 年初，Oasis Security 研究團隊在對 OpenClaw AI 代理框架進行例行安全審計時，意外發現了一個令人震驚的設計缺陷。這個漏洞被命名為 “ClawJacked”（CVE-2026-25253），並非來自任何第三方插件或擴展，而是存在於 OpenClaw 核心系統本身的 gateway 組件中。

作為資深安全觀察者，我們注意到這個漏洞的危險性在於其極簡的利用條件：攻擊者只需一個惡意網頁，誘導用戶訪問，即可在用戶電腦上運行的 OpenClaw 代理之間建立 WebSocket 連接，並通過暴力破解或 token 竊取完全控制 victim 的 AI 代理。這 not 是理論上的 attack scenario，而是 practical zero-click 攻擊。

本報告將深度剖析 ClawJacked 漏洞的技術細節，並推導其對 2026-2027 年 AI 代理生態系統的長遠影響，為企業和開發者提供具體的 risk mitigation 策略。

什麼是 ClawJacked？OpenClaw 核心系統的設計缺陷

OpenClaw（原名 Clawdbot/Moltbot）是一款受開發者歡迎的本地 AI 代理框架，支持在 macOS、Windows 和 Linux 上運行，可連接雲端模型（Anthropic、OpenAI）或本地模型。其 gateway 組件預設監聽 localhost:8080（或類似端口），提供 WebSocket 接口供前端控制。

Pro Tip

根據 NVD 和 multiple security 來源，CVE-2026-25253 的 CVSS v3.1 Base Score 為 9.8（Critical），攻擊向量為 Network，攻擊複雜度為 Low，權限要求為 None。這 classification 確認了漏洞的嚴重性。

同時，The Hacker News 報導指出，OpenClaw 在短時間內還修復了其他多個 CVE，包括 log poisoning 和多個供應鏈攻擊向量，顯示 AI 代理框架正面臨前所未有的安全挑戰。

攻擊向量分析：WebSocket CSRF 與本地服務劫持

ClawJacked 的核心問題在於 WebSocket 握手過程中的身份驗證邏輯缺陷。根據 OWASP WebSocket Security Cheat Sheet，當 WebSocket 握手僅依賴 HTTP cookies 進行身份驗證，且未正確驗證 Origin 頭時，会产生 Cross-Site WebSocket Hijacking (CSWH) 漏洞。

攻擊流程如下：

1. 受害者安裝 OpenClaw： 開發者在其本地機器安裝 OpenClaw，並在瀏覽器中開啟控制界面（通常為 http://localhost:8080）。
2. 攻擊者誘導訪問： 受害者瀏覽到 Attack 者控制的惡意網站。
3. WebSocket 連接建立： 惡意網站中的 JavaScript 代碼向 ws://localhost:8080 發起 WebSocket 連接請求。由於瀏覽器允許從任何Origin發起到 localhost 的連接，且 OpenClaw 未驗證 Origin 頭，連接被建立。
4. 身份驗證繞過： 連接攜帶受害者的 session cookie，OpenClaw 視為已授權連接。
5. 控制權接管： 攻擊者通過 WebSocket 發送API命令，完全控制 OpenClaw 代理，可以執行任意代碼、讀取敏感數據、訪問連接的第三方服務（如 Calendar、Slack、GitHub）。

Pro Tip

此外，CSO Online 的報導指出，attackers 還可以結合暴力破解攻擊，利用 OpenClaw 對於密碼嘗試沒有限制（no rate limiting）的缺陷，在短時間內破解弱密碼，進一步增大成功機率。

影響評估：從個人隱私到企業安全的級聯效應

OpenClaw 作為一款功能強大的 AI 代理，通常被授予訪問用戶多種敏感服務的權限。一旦被劫持，攻擊者可造成的損害远超 普通账户盜用。

具體威脅包括：

• API Token 竊取： 攻擊者可竊取 OpenClaw 存儲的第三方服務（GitHub、Google、Slack）API tokens，進一步滲透企業系統。
• 敏感數據訪問： 通過劫持的 AI 代理，attackers 可讀取用戶的個人信息、公司文檔、通訊記錄。
• 供应链攻擊： 71 個惡意 ClawHub skills 已經被发现散布惡意軟體和加密貨幣詐騙，顯示 AI 代理生態系統已是攻击者的新攻擊面。
• 企業橫向移動： 如果 OpenClaw 部署在企業環境並具有內部網路訪問權限，攻擊者可將其作為跳板，進一步攻擊內部服务器。

Pro Tip

CB Insights 的市場數據顯示，62% 的 AI 代理安全公司成立於 2022 年後，這一快速增長反映了市場對 agentic AI 安全風險的日益重視。

時間軸與響應：Oasis 的 responsible disclosure 與 OpenClaw 的修復

ClawJacked 漏洞的披露過程展示了現代安全研究的最佳實踐。以下是關鍵時間節點：

根據 Oasis Security 官方博客和 PRNewswire 的新闻稿，研究團隊在發現漏洞後立即準備了完整的 technical details、root cause analysis 和 proof-of-concept 代碼，並提交給 OpenClaw 安全團隊。OpenClaw 團隊在 24 小時內 即發布了修復版本，并將漏洞分類為 High severity，這種響應速度在開源社區中屬上乘表現。

然而，SecurityWeek 的報導指出，OpenClaw 在短時間內還發現了其他多個安全問題，包括 CVE-2026-25157（log poisoning）和 CVE-2026-25253（RCE）。這提醒我們，AI 代理系統需要持續的安全審計和自動化漏洞掃描。

Pro Tip

所有受影響的 OpenClaw 版本應立即升級至 v2026.2.25 或更高版本。OpenClaw 官方已發布詳細的修復說明和 upgrade guide。

未來影響：2026-2027 年 AI 代理安全趨勢與市場預測

ClawJacked 漏洞不是孤立事件，而是 AI 代理安全性不足的縮影。根據多項市場研究，AI 代理市場將在未來兩年 explosive growth，但安全防護措施遠遠滯後。

根據 Grand View Research 和 Precedence Research 的市場調查，全球 AI 代理市場規模在 2024 年約為 54-76 億美元，預計到 2033 年可達 182-236 億美元，年復合成長率 (CAGR) 高達 45-50%。Gartner 預測，到 2026 年底，約 40% 的企業應用程序將嵌入 task-specific AI agents。

然而，繁榮背後隱藏巨大安全風險：

• AI agent security & risk management 市場 beschleunigt： CB Insights 指出，該領域 62% 的公司成立於 2022 年後，顯示安全需求湧現。
• OWASP Top 10 for Agentic Applications 2026 發布： 這個全球同行評審框架明確將”不安全的 WebSocket 連接”和”本地服務暴露”列為關鍵風險。
• Agentic AI 成為 2026 最大威脅乘數： Barracuda research 指出，autonomous 攻擊代理將 reduce 攻击者成本與時間。
• Gartner 警報： 40% 的 agentic AI 項目將在 2027 年因安全、治理或技術限制而被取消。

Pro Tip

綜合來看，2026-2027 年 AI 代理安全市場將從”可選項”變為”必選項"。企業不可等到下一個 ClawJacked 事件發生才采取行動。

常見問題 (FAQ)

ClawJacked 漏洞如何影響一般終端用戶？

ClawJacked 漏洞主要影響在本地運行 OpenClaw AI 代理的開發者和技術用戶。終端用戶如果沒有安裝 OpenClaw，則不受直接影響。但如果開發者使用被劫持的 OpenClaw 代理访问第三方服务，那么这些服务的用户可能间接受害。建议所有 OpenClaw 用户立即更新到最新版本。

WebSocket 安全的最佳實踐有哪些？

根據 OWASP WebSocket Security Cheat Sheet，關鍵措施包括：1) 在握手階段使用 CSRF token 或類似的自定義身份驗證機制；2) 嚴格驗證 Origin 和 Host 頭；3) 实施速率限制防止暴力破解；4) 使用 wss:// (WebSocket Secure) 加密連接；5) 避免在 WebSocket 消息中傳送敏感數據；6) 定期更新 WebSocket 庫以修復已知漏洞。

AI 代理框架的未來安全方向是什麼？

根據多項研究，AI 代理安全將沿以下方向發展：1) 基於 Zero Trust 的原理範式，代理需持續驗證和授權；2) 硬體級安全隔離（如 Intel SGX、ARM TrustZone）；3) AI 專用防火牆和 behaviour anomaly detection；4) 標準化 agent-to-agent 通信協議的安全層（如 Agent Protocol、Model Context Protocol）；5) 更完善的 sandbox 和容器化部署選項。OpenClaw 未來版本預計將加入這些進階安全功能。

立即行動：保護您的 AI 代理資產

ClawJacked 漏洞的發現提醒我們，AI 代理的安全性不容樂觀。隨著企業加速部署 agentic AI，攻擊者也在快速發展 corresponding 攻擊技術。2026 年將是 AI 代理安全3440的关键分水岭。

聯絡我們獲取 AI 代理安全評估

參考資料與權威來源

• The Hacker News: ClawJacked Flaw Lets Malicious Sites Hijack Local OpenClaw AI Agents
• Oasis Security: ClawJacked: OpenClaw Vulnerability Enables Full Agent Takeover
• OWASP WebSocket Security Cheat Sheet
• Grand View Research: AI Agents Market Size And Share 2023-2033
• Precedence Research: AI Agents Market Size
• Lasso Security: Enterprise AI Security Predictions 2026
• CyberArk: What’s shaping the AI agent security market in 2026
• OWASP Top 10 for Agentic Applications 2026
• NVD: CVE-2026-25253

免責聲明： 本文基於公開安全研究報告和市場數據撰寫，旨在提供教育性的深度剖析。具體技術 implementation 應諮詢專業安全人員。