OpenClaw曝出严重漏洞，黑客可一键获取用户权限

研究人员发现 OpenClaw 存在一个严重漏洞，在与另一个漏洞结合利用后，最终可构建一个一键远程代码执行 (RCE) 漏洞利用程序。利用此漏洞，只需访问一个恶意网页，就足以入侵用户的计算机和人工智能助理。

受害者点击恶意链接后，攻击者可在其服务器上监听 WebSocket 连接，继而接受到auth令牌。攻击者使用被盗令牌可登录到受害者的 OpenClaw 实例。

—— Depthfirst

值得注意的是，阿里云镜像仍使用1.27版本，且默认将用户的webui暴露在公网上。Shodan可扫描到阿里云上万台openclaw的机器。大量服务器暴露在危险之中。