1-Click RCE to steal your Moltbot data and keys
4 months ago
- #AI
- #Vulnerability
- #Cybersecurity
- OpenClaw作为一款开源AI个人助手广受欢迎,但近期被发现存在严重安全漏洞。
- 该漏洞涉及1-Click远程代码执行(RCE)攻击,攻击者可通过恶意网页完全控制系统。
- 漏洞源于逻辑缺陷:系统未经验证即接受并固化URL参数中的gatewayUrl字段。
- 利用此漏洞可窃取身份验证令牌,从而非法访问用户隐私数据及系统控制权限。
- 攻击者采用跨站WebSocket劫持(CSWSH)技术绕过网络限制,与本地主机服务进行交互。
- 通过API调用配合窃取的令牌,可关闭exec-approvals.json等安全防护功能实现无限制命令执行。
- OpenClaw团队已在v2026.1.24-1之后版本发布补丁,建议用户立即升级并重置所有令牌。
- depthfirst公司提供能在开发早期阶段检测此类逻辑缺陷的专业工具。