Oasis Security这次揭开了一个很让人震惊的事儿,说开源AI代理框架OpenClaw竟然藏着个“零点击”高危漏洞。这意味着只要有开发者打开了一个恶意网站,不管他是不是在安装插件或者跟谁互动,黑客都能悄悄把手伸到他本地跑着的AI代理里,几乎是想干什么就干什么。这漏洞特别恶心的一点在于,只要用户浏览器上有个窗口加载了JavaScript,脚本就能立马把消息发给本地的OpenClaw。现在的浏览器哪会拦着跨源脚本访问回环地址啊,攻击脚本于是就能顺顺当当地跟本地服务对话。而且OpenClaw在管理localhost的连接时根本没加限速机制和失败统计,黑客哪怕一秒钟发几百次请求来猜密码也不会被逮着。要是密码被破了,脚本就能自动注册成“信得过的设备”,系统默认批准这个配对请求,用户连确认都不用做。拿到管理员权限后,黑客想干啥就干啥,像调取Slack历史记录里的API密钥、偷看私密消息、拿本地文件、甚至执行任意Shell命令都不在话下。 研究人员把这个过程演了一遍发现,用户压根儿就没啥察觉,整个接管过程只需要开一个浏览器标签页就能搞定。追根溯源是因为犯了三个错:一是觉得localhost天然安全;二是认为浏览器没法跟本地服务沟通;三是以为回环地址不需要限速控制。谁承想现在的Web环境早就不是那么回事儿了。好消息是团队已经把这事儿告诉了OpenClaw那边,项目方24小时内就发了补丁修复了这个问题。 官方建议大家赶紧升级到2026.2.25或者更新的版本,还得好好盘点一下组织里的开发者电脑上装了没装OpenClaw,特别是那些没在IT部门备案的“影子部署”。同时最好把不必要的API密钥和节点权限都撤掉,把AI代理当作拥有独立身份的高权限系统实体来看待,把它们纳入统一的身份管理框架里去。 这件事再一次说明了个大问题:随着AI代理变得越来越能干,能跨应用跨系统自动干活了,它们的安全边界早就不是传统插件能比的了。设计里的信任模型只要出点偏差风险立马就会变大。对企业来说,AI代理不光是提升效率的工具了,更是必须纳入核心安全治理体系的高权限数字身份。