改变一切的一周
2026 年 2 月 24 日至 3 月 2 日之间,OpenClaw 遭遇了一连串安全事件,考验了项目的韧性、社区的信任以及其在压力下的响应能力。本文完整记录了事件经过、团队的应对措施以及由此带来的变化。
事件一:零点击 WebSocket 劫持(CVE-2026-25253)
事件经过
2 月 26 日,安全研究人员披露了一个严重的零交互漏洞:任何恶意网站都可以在不需要用户执行任何操作的情况下,悄然夺取用户 OpenClaw 代理的完全控制权——无需点击、无需插件、无需扩展。
漏洞原理
- 1.用户访问一个包含恶意 JavaScript 的网页
- 2.脚本向
localhost上的 OpenClaw 网关发起 WebSocket 连接 - 3.脚本以每秒数百次的速度暴力破解网关密码
- 4.网关的速率限制器完全豁免了 localhost 连接——失败的尝试不会被计数、限流或记录
- 5.一旦认证成功,脚本便悄然注册为受信任设备
- 6.攻击者获得完全控制权:读取消息、执行命令、访问文件、窃取 API 密钥
应对措施
OpenClaw 安全团队将此漏洞定级为高危(CVSS 8.8),并在披露后 24 小时内通过 2026.2.25 版本发布了补丁。修复内容包括:
- •移除 localhost 的速率限制豁免
- •增加 WebSocket 来源检查
- •对所有来源的连接尝试引入日志记录
- •新设备注册需要重新认证
影响范围
在披露之前没有确认的野外利用证据,但漏洞窗口大约为 6 周(从 v2026.1.12 引入 localhost 豁免开始)。
事件二:ClawHub 供应链危机
事件经过
与 WebSocket 漏洞同期,多家安全研究机构发布调查结果显示,ClawHub 上约 20% 的技能——1,700 个中的 341 个——存在恶意行为或可疑行为。
恶意技能的行为
- •数据窃取:悄然将环境变量、API 密钥和对话日志上传到外部服务器
- •凭据收集:捕获已连接服务(Slack、Discord、Gmail)的认证令牌
- •后门植入:在宿主系统上建立持久化反向 Shell
- •提示词注入:操纵代理行为以服务攻击者的目的,同时对用户伪装正常
应对措施
OpenClaw 将 VirusTotal 扫描集成到了 ClawHub 的提交流程中。每个新技能和每次技能更新现在都需要:
- 1.经过 VirusTotal 的多引擎分析扫描
- 2.接受静态代码分析以检测已知恶意模式
- 3.对于请求提升权限的技能,由人工审核员在发布前进行审查
- 4.在安装前向用户展示信任评分标签
此外,所有 341 个已识别的恶意技能被下架,其发布者被封禁,受影响的用户也已收到通知。
事件三:配置文件信息窃取
事件经过
另一波攻击通过社会工程手段针对 OpenClaw 用户:通过 GitHub、Reddit 和中国开发者论坛分发的虚假"优化指南"和"性能工具"中包含专门针对以下目标的信息窃取程序:
- OpenClaw 配置文件(.clawrc