OpenClaw平台曝出严重安全缺口
近日,一项由国内安全研究团队发现的OpenClaw平台高危漏洞引发全球关注。该漏洞被正式收录于国家信息安全漏洞库,其危害性在于能够完全绕过平台的核心安全防线。
漏洞机制:MEDIA协议权限完全失控
此次漏洞的核心位于OpenClaw的MEDIA协议处理层。研究发现,该协议运行于输出后处理阶段,存在致命的设计缺陷。即便平台管理员已禁用所有Agent的工具调用权限,攻击者依然可以凭借最基础的群聊成员身份发起攻击。
更令人担忧的是,此漏洞使得平台内置的工具策略控制完全失效。攻击流程极为简单直接:
- 攻击者无需高级权限,仅需普通成员身份
- 利用MEDIA协议绕过所有安全检查
- 直接读取并窃取服务器本地的敏感文件
- 可能引发包括数据泄露、勒索软件在内的连锁攻击
影响范围:波及全球数字基础设施
该漏洞的影响范围远超预期。安全扫描数据显示:
- 全球超过17万个可公开访问的OpenClaw实例存在风险
- 受影响实例分布在50多个不同国家和地区
- 涉及教育、企业、政府等多种应用场景
- 由于漏洞利用门槛低,实际威胁等级被评估为“高危”
安全专家指出,此类漏洞的发现凸显了AI平台在快速迭代过程中可能忽视的安全盲点。随着OpenClaw等平台的广泛应用,其安全防护机制需要得到系统性加强。
目前,相关技术细节已向受影响方通报,建议所有OpenClaw实例管理员立即检查系统版本并采取防护措施。