AI代理成了攻击入口?问题就出在安全圈OpenClaw本地网关被曝漏洞上。Oasis Security发现了个“零点击”高危漏洞,开发者只要点进了攻击者的网站,不用装插件也不用动手点,AI代理就能被直接劫持。研究人员发现,浏览器里的JavaScript脚本能直接连到本地OpenClaw的WebSocket网关。这事儿得怪默认信任本地连接的设计,攻击者只要拿个脚本发包就能搞定。OpenClaw是自托管的工具,能连Slack、日历和本地文件系统。它通过localhost上的网关调度节点设备。攻击链触发太简单了,就一个浏览器标签页的事儿。由于浏览器不阻止回环地址的跨源访问,脚本就能直接通信。而且网关密码也没限速,攻击者可以每秒几百次暴力猜密码而不被锁。 一旦密码破了,脚本就变成受信设备,系统自动配对不用人点。拿到权限后,就可以命令AI代理去搜Slack里的API密钥、看私密消息、拿文件、甚至执行Shell命令。整个过程对受害者来说完全无感。这都是因为三个错误假设:以为localhost天然安全、以为浏览器连不上本地服务、以为回环地址不用限速。研究团队把这漏洞告诉了OpenClaw项目方,对方24小时内就发了修复版。官方建议赶紧升级到2026.2.25以上,还要把IT视野外的影子部署都找出来。还得把多余的API密钥和权限撤掉,把AI代理当成高权限的系统实体来管。 这次事儿说明AI代理的能力越来越强了。一旦设计上的信任模型出了岔子风险就会迅速放大。对企业来说,AI代理不再只是工具而是高权限数字身份了。所以必须把它纳入核心安全治理体系里。这种漏洞多了以后大家都得小心点。