"可信环境"的谬误
Web3安全公司Certik于3月31日发布的一项研究揭露了开源人工智能(AI)平台Openclaw内部安全边界的"系统性崩溃"。尽管该框架迅速获得超过30万个Github星标,但在短短四个月内已累积了超过100个CVE漏洞和280个安全公告,形成了研究人员所称的"无边界"攻击面。
报告强调了一个根本性的架构缺陷:Openclaw最初是为"可信的本地环境"设计的。然而,随着平台人气激增,用户开始将其部署在面向互联网的服务器上——这是该软件从未具备处理能力的转变。
根据研究报告,研究人员发现了几个危及用户数据的高风险故障点,包括关键漏洞CVE-2026-25253,该漏洞允许攻击者夺取完全的管理控制权。通过诱骗用户点击单个恶意链接,黑客可以窃取身份验证令牌并劫持AI代理。
与此同时,全球扫描显示82个国家有超过135,000个暴露在互联网上的Openclaw实例。其中许多默认禁用了身份验证,以明文形式泄露API密钥、聊天记录和敏感凭证。报告还指出,该平台用于用户共享"技能"的存储库已被恶意软件渗透,发现数百个这类扩展程序捆绑了旨在窃取已保存密码和加密货币钱包的信息窃取器。
此外,攻击者现在将恶意指令隐藏在电子邮件和网页中。当AI代理处理这些文档时,可能会被迫在用户不知情的情况下外泄文件或执行未经授权的命令。
"Openclaw已成为一个案例研究,展示了当大型语言模型不再是孤立的聊天系统,而开始在真实环境中运作时会发生什么,"Penligent的首席审计员表示。"它将经典软件缺陷聚合到具有高度委派权限的运行时中,使任何单个漏洞的影响范围都变得巨大。"
缓解措施和安全建议
针对这些发现,专家们敦促开发者和最终用户采取"安全优先"的方法。对于开发者,研究建议从第一天起就建立正式的威胁模型,实施严格的沙箱隔离,并确保任何AI生成的子进程仅继承低权限、不可变的许可。
对于企业用户,安全团队被敦促使用端点检测和响应(EDR)工具来定位企业网络内未经授权的Openclaw安装。另一方面,鼓励个人用户仅在无法访问生产数据的沙箱环境中运行该工具。最重要的是,用户必须更新到2026.1.29或更高版本以修补已知的远程代码执行(RCE)漏洞。
虽然Openclaw的开发者最近与Virustotal合作扫描上传的技能,但Certik研究人员警告这"并非万能解决方案"。在平台达到更稳定的安全阶段之前,业界共识是将该软件视为本质上不可信的。
常见问题 ❓
- 什么是Openclaw? Openclaw是一个开源AI框架,迅速增长至超过30万个GitHub星标。
- 为什么它有风险? 它是为可信的本地使用而构建的,但现在被广泛部署在线上,暴露了重大缺陷。
- 存在哪些威胁? 关键CVE漏洞、感染恶意软件的扩展程序,以及82个国家的135,000多个暴露实例。
- 用户如何保持安全? 仅在沙箱环境中运行,并更新到2026.1.29或更高版本。
来源:https://news.bitcoin.com/study-critical-exploit-in-openclaw-allows-full-administrative-hijacking/
