在AI Agent快速普及、成为开发者高效辅助工具的当下，一场针对开发者群体的高危零交互攻击悄然爆发。OpenClaw 0-Click漏洞(代号ClawJacked，CVE-2026-25253)凭借“零点击、全静默、高权限的特性，成为AI工具生态中极具破坏性的安全隐患。攻击者无需诱导用户点击、安装插件或确认弹窗，仅需让开发者访问一个恶意网页，就能轻松劫持其本地运行的OpenClaw AI Agent，进而获取系统级控制权，窃取核心开发资产、执行恶意命令，对个人开发者、企业研发团队造成不可挽回的损失。作为AI Agent领域首个被公开披露的高危零点击漏洞，ClawJacked不仅暴露了OpenClaw的设计缺陷，更给整个AI工具生态敲响了安全警钟。

一、漏洞核心原理

OpenClaw 0-Cick漏洞的本质，是其本地网关设计存在三大致命逻辑缺陷，叠加浏览器对本地回环地址(localhost)的跨源访问特性，形成了可被攻击者利用的攻击路径，核心原理可概括为:默认信任localhost连接+无防护的身份验证+自动批准配对机制，三者叠加让恶意网页脚本可无缝突破本地安全边界，接管AI Agent。

具体来说，OpenClaw的本地网关作为AI Agent与外部交互的核心入口，默认将1ocalhost(本地回环地址)视为“绝对安全”的访问来源，未对来自localhos的连接进行任何Origin(来源域名)校验这意味着，任何网页(包括恶意网页)中的JavaScript脚本，都可通过浏览器向OpenClaw的本地端口发起WebSocket连接，而浏览器不会对跨源访问localhost的请求进行拦截(这是浏览器的默认行为，旨在方便本地服务调试)

更关键的是，OpenClaw对localhost连接豁免了所有安全限制:一方面，身份验证环节未设置暴力破解防护，既没有速率限制，也没有失败次数锁定、日志记录机制，攻击者可通过脚本每秒发起数百次密码猜测，直至破解成功;另一方面，一旦密码破解完成，网关会自动将发起连接的设备注册为“受信管理员设备”，无需用户手动确认、无需弹窗提示，全程静默完成配对，最终让攻击者获得管理员级权限，完全掌控AI Agent。

二、完整攻击链

ClawJacked漏洞的攻击链极为简洁，全程无需用户任何交互，且无任何感知，攻击者仅需完成“诱导访问”这一个动作，即可实现从网页访问到AIAgent接管的全流程，具体攻击步骤如下，每一步均为静默执行，受害者无法察觉:

1.攻击触发(零交互起点):攻击者通过邮件、社交软件、第三方链接等方式，诱导开发者访问一个恶意网页(或被植入恶意脚本的正常网页)。开发者仅需打开该网页，无需点击任何按钮、下载任何文件，攻击即开始触发一一这也是“零点击”的核心体现，降低了攻击者的诱导成本，提高了攻击成功率。

2.跨源WebSocket连接建立:恶意网页中的JavaScript脚本，会自动向OpenClaw本地网关的默认端口(通常为8080、8081，部分版本为自定义端口)发起WebSocke连接。由于浏览器默认允许跨源访问localhost，该连接不会被浏览器拦截，可直接建立通信通道成为攻击者控制本地AI Agent的“桥梁”。

3.无限制暴力破解密码:连接建立后，脚本会自动执行密码暴力破解逻辑。由于OpenClaw对localhost连接豁免了速率限制，脚本可每秒发起数百次甚至上千次密码猜测请求，且破解失败后不会触发账号锁定、不会记录日志，也不会向用户发送任何提示。即便开发者设置了中等复杂度的密码，也能在短时间内被破解(若使用弱密码，破解时间可缩短至秒级)。

4.静默注册受信管理员设备:密码破解成功后，恶意脚本会向OpenClaw网关发送“设备注册”请求。由于OpenClaw默认"localhost连接即安全”，网关会自动批准该请求，将恶意脚本对应的设备(即开发者当前使用的浏览器进程)注册为“管理员级受信设备”，全程无弹窗、无确认提示，受害者完全不知情。

5.完全接管AI Agent (核心攻击目标):获得管理员权限后，攻击者可通过WebSocket通道，向AI Agent发送任意指令，实现全方位控制一包括但不限于读取本地文件、执行系统命令、窃取敏感凭证等，相当于间接获得了开发者设备的系统级控制权，攻击链闭环完成。

值得注意的是，整个攻击过程耗时极短(通常在10秒以内，取决于密码复杂度)，且无任何日志记录，受害者即便发现设备异常，也难以追溯攻击源头，给后续溯源、取证带来极大困难。

三、可造成的危害

OpenClaw AI Agen作为开发者常用的辅助工具，通常具备与用户等同甚至更高的系统权限，可访问开发者的代码库、密钥、配置文件等核心资产，因此该漏洞造成的危害极具针对性，且破坏性极强，覆盖个人开发者和企业研发团队，具体可分为五大类:

1.敏感凭证窃取(核心危害):AI Agent通常会被开发者用于辅助编写代码、管理项目，因此会访问Slack、Notion、GitHub、GitLab等工具，以及云服务(AWS、阿里云、腾讯云等)、数据库的API Key、访问密钥、密码等核心凭证。攻击者接管AI Agent后，可直接搜索并窃取这些凭证，进而入侵开发者的代码库、云服务器、数据库，造成核心资产泄露。

2.本地文件读取与外传:攻击者可通过AI Agent，读取开发者本地设备中的所有文件，包括源代码、项目文档、私密笔记、合同文件、个人信息等，并将这些文件静默外传至攻击者的服务器。对于企业研发人员而言，这可能导致核心枝术泄露、商业机密外泄，造成巨大的经济损失和声誉损失。

3.远程代码执行(RCE)，接近整机控制:借助AI Agen的高权限，攻击者可发送指令让AI Agent执行任意系统命令(如Windows的md命令、Linux的bash命令)，实现远程代码执行。这意味着攻击者可在开发者设备上安装恶意软件、创建后门、控制设备摄像头麦克风，甚至格式化硬盘，完全掌控设备，对开发者的个人隐私和设备安全造成毁灭性打击。

4.控制所有关联节点:OpenClaw  AI Agent支持多设备同步(如macOS、Windows客户端、移动设备、服务器节点)，攻击者接管一个设备上的AI Agent后，可进一步渗透到所有关联设备和节点，形成“连锁攻击”，扩大攻击范围--对于企业而言，可能导致整个研发团队的设备被劫持，研发流程中断。

5.攻击全程无感知，难以察觉与溯源:整个攻击过程无弹窗、无提示、无日志记录，受害者无法通过常规方式发现设备被入侵。即便后续发现资产泄露、设备异常，也难以追溯攻击时间、攻击路径和攻击者身份，给安全应急响应带来极大挑战。

此外，该漏洞的攻击成本极低，攻击者无需具备高深的技术能力，仅需编写简单的JavaScrip脚本、搭建恶意网页，即可发起攻击，这也意味着该漏洞可能被大规模滥用，成为针对开发者群体的“批量攻击工具”。

四、修复与防护

针对ClawJacked漏洞，OpenClaw官方已在24小时内发布紧急修复版本2026.2.25，开发者和企业需立即采取行动，封堵漏洞，降低被攻击风险。