一名研究人员在不到2小时内劫持了OpenClaw
💡
原文英文,约1100词,阅读约需4分钟。
📝
内容提要
研究人员发现OpenClaw AI代理及其社交网络Moltbook存在严重安全漏洞,默认设置允许全面系统访问,易受攻击。攻击者可获取用户凭证、执行命令,甚至控制代理。此外,Moltbook因配置错误暴露大量用户数据,安全专家警告需尽快加强防护。
🎯
关键要点
- 研究人员发现OpenClaw AI代理及其社交网络Moltbook存在严重安全漏洞。
- OpenClaw默认设置允许全面系统访问,易受攻击,攻击者可获取用户凭证和执行命令。
- Moltbook因配置错误暴露大量用户数据,安全专家警告需尽快加强防护。
- OpenClaw的MCP协议缺乏安全性,攻击者可轻易访问配置目录和凭证。
- 存在高严重性漏洞CVE-2026-25253,攻击者可通过恶意链接获取操作员级别的访问权限。
- Moltbook的后端配置错误导致数万封电子邮件和150万个API密钥被暴露。
- Moltbook依赖于OpenClaw,因而也受到OpenClaw安全问题的影响。
- OpenClaw的持久记忆功能可能导致延迟执行的攻击。
- OpenClaw的插件生态系统已成为恶意软件的分发渠道,存在386个恶意技能。
- 专家建议组织应立即投资于AI安全防御,以防止潜在的安全风险。
➡️
