北京赛克艾威科技有限公司 2026-03-13
OpenClaw是一款开源的AI智能体平台,能够在本地环境中自主运行,通过自然语言指令直接操作用户计算机完成各类任务,包括文件读写、Shell命令执行、网页浏览以及与邮件、Slack、Jira、GitHub等第三方服务的集成。 该漏洞存在于OpenClaw网关的WebSocket连接处理逻辑中。在2026.3.12版本之前,当使用无设备共享令牌或密码认证的后端连接时,系统未能正确验证和限制客户端自行声明的权限范围,攻击者可利用该漏洞,通过获取或构造无设备共享令牌,在WebSocket连接建立时自行声明高权限作用域,从而完全控制目标机器。
暂无