改變一切的一週
在 2026 年 2 月 24 日至 3 月 2 日之間,OpenClaw 面臨了一連串的安全事件,考驗著專案的韌性、社群的信任,以及其在壓力下應對的能力。這篇文章是對發生了什麼、團隊如何應對,以及因此做出了哪些改變的完整記述。
事件一:零點擊 WebSocket 劫持(CVE-2026-25253)
發生了什麼
2 月 26 日,安全研究人員揭露了一個嚴重的零互動漏洞:任何惡意網站都可以在不需要任何使用者操作的情況下,靜默地完全控制使用者的 OpenClaw 代理——不需要點擊、不需要外掛、不需要擴充功能。
運作原理
- 1.使用者造訪包含惡意 JavaScript 的網頁
- 2.腳本向
localhost上的 OpenClaw 閘道器開啟 WebSocket 連線 - 3.腳本以每秒數百次的速度暴力破解閘道器密碼
- 4.閘道器的速率限制器完全豁免了 localhost 連線——失敗的嘗試不會被計數、節流或記錄
- 5.一旦通過驗證,腳本靜默地註冊為受信任的裝置
- 6.攻擊者獲得完全控制權:讀取訊息、執行命令、存取檔案、竊取 API 金鑰
應對措施
OpenClaw 安全團隊將此歸類為高嚴重性(CVSS 8.8),並在揭露後 24 小時內於 2026.2.25 版中發布了修補程式。修復內容:
- •移除了速率限制中的 localhost 豁免
- •新增了 WebSocket 來源檢查
- •引入了所有來源的連線嘗試記錄
- •新裝置註冊需要重新驗證
影響
在揭露之前,沒有確認的實際被利用的證據,但漏洞窗口大約為 6 週(從 v2026.1.12 引入 localhost 豁免開始)。
事件二:ClawHub 供應鏈危機
發生了什麼
與 WebSocket 漏洞同時,來自多家資安公司的安全研究人員發布了調查結果,顯示 ClawHub 上大約 20% 的技能——1,700 個中的 341 個——是惡意的或包含可疑行為。
惡意技能做了什麼
- •資料外洩:靜默地將環境變數、API 金鑰和對話記錄上傳到外部伺服器
- •憑證竊取:擷取已連線服務(Slack、Discord、Gmail)的驗證令牌
- •後門安裝:在主機系統上建立持久性的反向 shell
- •提示注入:操縱代理的行為以服務攻擊者的目的,同時在使用者看來一切正常
應對措施
OpenClaw 將 VirusTotal 掃描整合到 ClawHub 的提交流程中。現在每個新技能和每次技能更新都會:
- 1.經過 VirusTotal 的多引擎分析掃描
- 2.進行已知惡意模式的靜態程式碼分析
- 3.由人工審核員審查(對於要求提升權限的技能)後才能發布
- 4.標記信任評分,在使用者安裝前可見
此外,所有 341 個已識別的惡意技能已被移除,其發布者已被封禁,受影響的使用者已收到通知。
事件三:設定檔資訊竊取程式
發生了什麼
另一波攻擊活動透過社交工程針對 OpenClaw 使用者:透過 GitHub、Reddit 和中國開發者論壇散布的假「最佳化指南」和「效能工具」包含了資訊竊取程式,專門針對:
- OpenClaw 設定檔(.clawrc