PANews 3月2日消息,GoPlus中文社区发布预警,OpenClaw Gateway现高危漏洞,请立即升级至2026.2.25或更高版本,审计并撤销授予Agent实例的不必要凭证、API密钥和节点权限。其分析称,OpenClaw通过绑定到本地主机的WebSocket Gateway运行,该Gateway作为Agent的核心协调层,是OpenClaw的重要组成部分。此次攻击针对的就是Gateway层的弱点,只需满足一个条件:用户在浏览器中访问被黑客控制的恶意网站。
完整攻击链如下:
1.受害者在其浏览器中访问攻击者控制的恶意网站;
2.页面中的JavaScript向本地主机上的OpenClaw网关发起WebSocket连接;
3.之后,攻击脚本以每秒数百次尝试暴力破解网关密码;
4.破解成功后,攻击脚本静默注册为受信任设备;
5.攻击者获得Agent的管理员级控制权;
免责声明:本页面信息可能来自第三方,不代表 Gate 的观点或意见。页面显示的内容仅供参考,不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证,对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为,价格波动剧烈,您可能损失全部投资本金。请充分了解相关风险,并根据自身财务状况和风险承受能力谨慎决策。具体内容详见
声明。
相关文章
地址中毒诈骗:TON鲸鱼损失22万美元,骗子归还大部分
一位TON区块链大户误将$220K 发送给了一个骗子。骗子保留了$17K ,并附上道歉信退还了其余部分。
一位TON区块链大户最近成为地址中毒骗局的受害者。
此次事件让他损失了价值22万美元的TON代币。他通过以下方式将资金发送到错误的钱包:
Live BTC News17 分钟前
OpenClaw出现「自我攻击」漏洞:误执行Bash命令致密钥泄露
GoPlus 报告称,AI 工具 OpenClaw 发生自我攻击安全事件,因错误的 Bash 指令导致敏感环境变量泄露。建议在 AI 开发中使用 API 调用,遵循最小权限原则,限制高风险操作并引入人工审核。
GateNews56 分钟前
太子集团在台洗钱 107 亿!自行开发「OJBK 钱包」连接地下汇兑
台北地检署侦办的柬埔寨「太子集团」洗钱案,涉及非法洗钱高达107亿,起诉陈志等62人,并查出集团利用USDT与自开发的「OJBK钱包」进行跨境洗钱。陈志指挥在多国设立公司,通过不实交易合约隐藏犯罪所得,并购置豪宅与名车,检方对其求刑最高13年。
区块客3小时前
新科鲁纳iOS漏洞工具包增加加密货币用户的安全风险
新发现的“Coruna”漏洞套件对苹果设备构成严重威胁,包含23个复杂的漏洞,可能危及多个iOS版本的iPhone。研究人员警告这些工具正在网络犯罪市场流通,强调定期软件更新以增强安全性的重要性。
Todayq News3小时前
黑客在激烈的加密货币“扳手攻击”中窃取$24M
一名加密货币持有者遭遇了暴力$24 百万的盗窃事件,被称为“扳手攻击”,攻击者使用威胁和武器胁迫他们转移资金。区块链分析师正在追踪被盗资产,这些资产在转移过程中仍然可追踪。
TheNewsCrypto4小时前
疑似美国政府工具外泄!谷歌揭示加密货币诈骗新型 iPhone 攻击链
谷歌威胁情报小组报告揭示新型iPhone漏洞利用工具包Coruna被用于大规模加密货币诈骗。该工具包利用JavaScript技术指纹识别iOS设备,窃取加密助记词和金融账户信息。建议所有iPhone用户立即更新系统以防范。Coruna的来源存在争议,疑似源自美国政府,但未有确凿证据证明。
Market Whisper6小时前
