GoPlus:OpenClaw Gateway現高風險漏洞,請立即升級至2026.2.25或更高版本
17
1
深潮 TechFlow 訊息,03 月 02 日,GoPlus 中文社群發布預警,OpenClaw Gateway 現高風險漏洞,請立即升級至 2026.2.25 或更高版本,審計並撤銷授予 Agent 實例的不必要憑證、API 金鑰和節點權限。 其分析稱,OpenClaw 透過綁定到本機的 WebSocket Gateway 運行,該 Gateway 作為 Agent 的核心協調層,是 OpenClaw 的重要組成部分。 這次攻擊針對的就是 Gateway 層的弱點,只需滿足一個條件:使用者在瀏覽器中存取被駭客控制的惡意網站。
完整攻擊鏈如下:
- 1.受害者在其瀏覽器中訪問攻擊者控制的惡意網站;
- 2.頁面中的 JavaScript 向本地主機上的 Openli style="text-align: start;">2.p start;">3.之後,攻擊腳本以每秒數百次嘗試暴力破解網關密碼;
- 4.破解成功後,攻擊腳本靜默註冊為受信任設備;
- 5.攻擊者獲得 Agent 的管理員級控制權;
來源:
