如何诱骗OpenClaw 运行代码并泄露机密
当前,针对OpenClaw等具备高权限和自主执行能力的AI智能体,攻击者主要通过以下两种技术路径进行渗透:
- 跨站WebSocket劫持(CSWSH)与令牌窃取
这主要利用了早期版本(如v2026.1.29之前)的架构设计缺陷。OpenClaw的控制面板在加载时,会解析URL中的gatewayUrl参数并自动建立WebSocket连接。在旧版本中,系统会将本地存储的认证令牌(Token)自动附加到该连接中,且未严格校验WebSocket的来源(Origin)。
攻击者可以通过钓鱼邮件或恶意广告,诱导用户点击包含恶意参数的链接。用户一旦访问,浏览器便会在后台向攻击者的服务器建立连接并泄露令牌。攻击者获取令牌后,即可绕过本地保护机制,完全接管受害者的网关,进而下发恶意指令。 - 供应链投毒与提示词注入
OpenClaw的插件生态(ClawHub)也存在被利用的风险。攻击者会将恶意代码伪装成合法的“Skills(技能包)”上架。这些恶意技能包通常会在说明文件中植入社会工程学话术,诱导用户执行高危的终端命令或下载未知二进制文件。一旦用户照做,恶意代码便会凭借技能包的系统访问权限侵入主机。此外,攻击者还会利用提示词注入(Prompt Injection),在公开文档或网页中隐藏恶意指令,当AI代理读取这些内容时,便可能在用户无感知的情况下执行窃取密钥等操作。
防御建议
为了防范上述攻击,安全实践通常建议采取以下措施:
及时升级与配置加固:更新至最新版本以修复已知漏洞;强制开启身份认证,避免将管理端口(如18789)直接暴露于公网。
运行环境隔离:启用Docker容器或虚拟机运行,将AI代理的工具执行(如代码运行、文件操作)隔离在沙箱内,防止其直接危害宿主机。
最小权限原则:禁用Shell、浏览器控制等高危工具调用,对文件系统访问进行严格的白名单限制。
供应链审查:谨慎安装第三方插件,安装前审查其代码和安装指令,避免执行来源不明的脚本。