安全问题持续困扰着OpenClaw生态系统,该项目此前曾更名为ClawdBot和Moltbot。目前多个相关项目正在修复机器人劫持和远程代码执行(RCE)漏洞。
与上周相比,更名后的OpenClaw的热度已有所下降,但安全研究人员表示,他们仍在这项旨在为用户提供便利的技术中不断发现漏洞,而这些漏洞反而增加了用户的负担。
一键远程代码执行漏洞链
DepthFirst公司的创始安全研究员Mav Levin于周日公布了一个一键远程代码执行漏洞链的详细信息。他声称整个攻击过程只需"几毫秒",只需要受害者访问一个恶意网页即可。
如果运行存在漏洞版本和配置的OpenClaw用户点击该链接,攻击者就能触发跨站点WebSocket劫持攻击,因为这个多次更名的AI项目服务器没有验证WebSocket来源标头。
这意味着OpenClaw服务器会接受来自任何网站的请求。在这种情况下,恶意制作的网页可以在受害者的浏览器上执行客户端JavaScript代码来获取身份验证Token,建立与服务器的WebSocket连接,并使用该Token通过身份验证。
该JavaScript代码会禁用沙箱和在执行危险命令前向用户显示的提示,然后发出node.invoke请求来执行远程代码。
Levin表示,OpenClaw团队已迅速修复了该漏洞,公开公告也证实了这一点。
Jamieson O'Reilly是早期OpenClaw漏洞报告的撰写者,目前已被任命为该项目的职位。他对Levin的发现表示赞赏,并欢迎更多的安全贡献。
Moltbook数据库泄露事件
一键远程代码执行漏洞细节公布的前一天,O'Reilly本人强调了另一个与OpenClaw相关的社交媒体网络Moltbook的问题,该网络专为AI智能体设计。
由Matt Schlicht完全基于感觉编程创建的Moltbook并不是OpenClaw项目的一部分,它看起来像一个只能由AI智能体使用的Reddit克隆版本,不接受人类输入。
OpenClaw用户可以在Moltbook上注册他们的AI智能体——那些阅读他们短信和整理收件箱的智能体——并观看它们展现自己的"生活"。
在其短暂的存在期间,AI智能体似乎参与了各种讨论,包括试图发起AI智能体对人类主人的起义,但也有人声称网站上的所有内容都是由人类发布的。
无论这些帖子是否由智能体生成,当研究人员不断发现安全漏洞时,用户将其智能体链接到该网站这一事实就存在潜在风险。
O'Reilly在1月31日表示,他在发现该网站的数据库向公众公开、秘密API密钥可自由访问后,已尝试联系Schlicht数小时。
他声称该问题可能允许攻击者以任何智能体的身份在网站上发帖,并指出AI领域的知名人士,如Eureka Labs的Andrej Karpathy,也将其个人智能体链接到了Moltbook。
"Karpathy在X平台上有190万粉丝,是AI领域最具影响力的声音之一,"O'Reilly说。
"想象一下,假冒的AI安全热门观点、加密货币诈骗推广或煽动性的政治声明看起来像是来自他本人。"
一位技术专业人士表示,Schlicht可能没有正确配置Moltbook底层的开源数据库软件。Supabase首席执行官Paul Copplestone在2月1日表示,他正在尝试与"创建者"合作,并已准备好一键修复方案,但创建者尚未应用。
Schlicht没有公开评论该漏洞,也没有立即回应The Register的置评请求,但O'Reilly确认该问题现已修复。
Q&A
Q1:OpenClaw一键远程代码执行漏洞是如何工作的?
A:该漏洞利用OpenClaw服务器不验证WebSocket来源标头的缺陷,攻击者制作恶意网页,当用户点击链接后,网页会执行JavaScript代码获取身份验证Token,建立WebSocket连接,禁用沙箱和安全提示,最终执行远程代码。整个攻击过程只需几毫秒。
Q2:Moltbook是什么?为什么会存在安全隐患?
A:Moltbook是一个专为AI智能体设计的社交媒体网络,类似Reddit的克隆版本,只能由AI智能体使用。其数据库曾向公众公开,秘密API密钥可自由访问,攻击者可能以任何智能体身份发帖,包括知名AI人士的智能体账号,存在被用于诈骗或发布虚假信息的风险。
Q3:OpenClaw的安全漏洞修复情况如何?
A:OpenClaw团队已迅速修复了一键远程代码执行漏洞,并发布了公开公告。Moltbook的数据库泄露问题也已得到修复。项目方目前欢迎安全研究人员的贡献,早期漏洞报告者Jamieson O'Reilly已被任命参与项目安全工作。
免安装中文版)
