Latest
OpenClaw漏洞暴露24.5万AI代理服务器
开源自主代理框架OpenClaw(原名Clawdbot)近日被曝存在一条由四个关键漏洞构成的攻击链,据IT安全媒体披露,此举预计导致约24.5万台公开可访问的服务器实例面临远程利用、凭证窃取及持久后门植入风险。该框架自2025年末上线后迅速普及,通过将大语言模型直连文件系统与SaaS应用,在自动化工作流的同时也暴露出供应链安全与默认配置漏洞,成为攻击者眼中高价值的新目标。 四重漏洞链:远程利用与凭证窃取风险 原始报道显示,安全研究人员在OpenClaw框架中发现了四个连环关键漏洞。受影响版本主要为npm包2026.4.20之前的版本,维护者已针对中等严重程度的问题发布安全更新。由于OpenClaw被设计为直接绑定本地资源(文件系统、API密钥等),攻击者可借此实现策略绕过与严重凭据泄露。初步估计暴露在公网上的服务器实例高达24.5万,为自动化扫描和横向移动提供了大规模可乘之机。 技术根因:代理框架的固有安全缺陷 从技术层面分析,OpenClaw的架构放大了三类风险:一是代理框架默认赋予模型对本地资源的持久性访问权限;二是可扩展的插件/技能市场增加了供应链暴露面;三是大量可公
