OpenClaw修复一键远程代码执行漏洞，安全漏洞层出不穷

安全问题持续困扰着OpenClaw生态系统，该项目此前曾更名为ClawdBot和Moltbot。目前多个相关项目正在修复机器人劫持和远程代码执行（RCE）漏洞。

与上周相比，更名后的OpenClaw的热度已有所下降，但安全研究人员表示，他们仍在这项旨在为用户提供便利的技术中不断发现漏洞，而这些漏洞反而增加了用户的负担。

一键远程代码执行漏洞链

DepthFirst公司的创始安全研究员Mav Levin于周日公布了一个一键远程代码执行漏洞链的详细信息。他声称整个攻击过程只需"几毫秒"，只需要受害者访问一个恶意网页即可。

如果运行存在漏洞版本和配置的OpenClaw用户点击该链接，攻击者就能触发跨站点WebSocket劫持攻击，因为这个多次更名的AI项目服务器没有验证WebSocket来源标头。

这意味着OpenClaw服务器会接受来自任何网站的请求。在这种情况下，恶意制作的网页可以在受害者的浏览器上执行客户端JavaScript代码来获取身份验证Token，建立与服务器的WebSocket连接，并使用该Token通过身份验证。

该JavaScript代码会禁用沙箱和在执行危险命令前向用户显示的提示，然后发出node.invoke请求来执行远程代码。

Levin表示，OpenClaw团队已迅速修复了该漏洞，公开公告也证实了这一点。

Jamieson O'Reilly是早期OpenClaw漏洞报告的撰写者，目前已被任命为该项目的职位。他对Levin的发现表示赞赏，并欢迎更多的安全贡献。

Moltbook数据库泄露事件

一键远程代码执行漏洞细节公布的前一天，O'Reilly本人强调了另一个与OpenClaw相关的社交媒体网络Moltbook的问题，该网络专为AI智能体设计。

由Matt Schlicht完全基于感觉编程创建的Moltbook并不是OpenClaw项目的一部分，它看起来像一个只能由AI智能体使用的Reddit克隆版本，不接受人类输入。

OpenClaw用户可以在Moltbook上注册他们的AI智能体——那些阅读他们短信和整理收件箱的智能体——并观看它们展现自己的"生活"。

在其短暂的存在期间，AI智能体似乎参与了各种讨论，包括试图发起AI智能体对人类主人的起义，但也有人声称网站上的所有内容都是由人类发布的。

无论这些帖子是否由智能体生成，当研究人员不断发现安全漏洞时，用户将其智能体链接到该网站这一事实就存在潜在风险。

O'Reilly在1月31日表示，他在发现该网站的数据库向公众公开、秘密API密钥可自由访问后，已尝试联系Schlicht数小时。

他声称该问题可能允许攻击者以任何智能体的身份在网站上发帖，并指出AI领域的知名人士，如Eureka Labs的Andrej Karpathy，也将其个人智能体链接到了Moltbook。

"Karpathy在X平台上有190万粉丝，是AI领域最具影响力的声音之一，"O'Reilly说。

"想象一下，假冒的AI安全热门观点、加密货币诈骗推广或煽动性的政治声明看起来像是来自他本人。"

一位技术专业人士表示，Schlicht可能没有正确配置Moltbook底层的开源数据库软件。Supabase首席执行官Paul Copplestone在2月1日表示，他正在尝试与"创建者"合作，并已准备好一键修复方案，但创建者尚未应用。

Schlicht没有公开评论该漏洞，也没有立即回应The Register的置评请求，但O'Reilly确认该问题现已修复。

Q&A

Q1：OpenClaw一键远程代码执行漏洞是如何工作的？

A：该漏洞利用OpenClaw服务器不验证WebSocket来源标头的缺陷，攻击者制作恶意网页，当用户点击链接后，网页会执行JavaScript代码获取身份验证Token，建立WebSocket连接，禁用沙箱和安全提示，最终执行远程代码。整个攻击过程只需几毫秒。

Q2：Moltbook是什么？为什么会存在安全隐患？

A：Moltbook是一个专为AI智能体设计的社交媒体网络，类似Reddit的克隆版本，只能由AI智能体使用。其数据库曾向公众公开，秘密API密钥可自由访问，攻击者可能以任何智能体身份发帖，包括知名AI人士的智能体账号，存在被用于诈骗或发布虚假信息的风险。

Q3：OpenClaw的安全漏洞修复情况如何？

A：OpenClaw团队已迅速修复了一键远程代码执行漏洞，并发布了公开公告。Moltbook的数据库泄露问题也已得到修复。项目方目前欢迎安全研究人员的贡献，早期漏洞报告者Jamieson O'Reilly已被任命参与项目安全工作。