Udviklere, der kører lokale AI-agenter, forventer sjældent, at et simpelt besøg på en hjemmeside kan føre til en systemkompromittering. ClawJacked-sårbarheden ændrede den antagelse. Forskere opdagede, at OpenClaws lokale gateway-design gjorde det muligt for ondsindede websites at kapre AI-agenter, som kørte på brugerens maskine.
Fejlen skabte en direkte forbindelse mellem en browserfane og et kraftfuldt lokalt automatiseringsværktøj. Angribere kunne udnytte denne forbindelse til at stjæle data, få adgang til logfiler og udføre kommandoer. Hændelsen viser, hvordan AI-agentplatforme kan introducere nye sikkerhedsrisici, når de interagerer med lokale tjenester.
Hvad er OpenClaw?
OpenClaw er en open source AI-agentplatform, der kører lokalt på udviklerens computer. Platformen automatiserer opgaver som beskeder, planlægning, filadgang og systemkommandoer. Mange udviklere bruger værktøjet til at effektivisere arbejdsgange og integrere AI i den daglige drift.
For at administrere agenter kører OpenClaw en lokal gateway-tjeneste. Tjenesten kommunikerer via WebSocket-forbindelser. Gatewayen autentificerer enheder og håndterer anmodninger om agentkontrol. Netop denne arkitektur blev indgangspunktet for angrebet.
Sådan fungerede ClawJacked-sårbarheden
Sårbarheden opstod i måden, OpenClaw håndterede localhost-forbindelser på. Gatewayen stolede på forbindelser, der kom fra den lokale maskine. Browsere kan åbne WebSocket-forbindelser til localhost uden at aktivere normale cross-origin-beskyttelser.
En angriber behøvede kun at få offeret til at besøge en ondsindet hjemmeside. Indlejret JavaScript på siden oprettede en WebSocket-forbindelse til den lokale OpenClaw-gateway. Da gatewayen manglede effektive brute force-beskyttelser for localhost-forespørgsler, kunne angriberen hurtigt gætte adgangskoder.
Når angriberen først autentificerede sig, godkendte gatewayen automatisk forbindelsen som en betroet enhed. Ingen brugerbekræftelse eller advarsel blev vist. På det tidspunkt fik angriberen kontrol over AI-agenten.
Med denne adgang kunne angriberen:
- Uddrage gemte legitimationsoplysninger
- Få adgang til logfiler og samtalehistorik
- Interagere med tilknyttede tjenester
- Udføre automatiserede kommandoer via agenten
Selv stærke adgangskoder gav begrænset beskyttelse i denne arkitektur. Automatiserede gættemetoder kunne køre med høj hastighed uden meningsfulde begrænsninger.
Sikkerhedsmæssig påvirkning
OpenClaw kører ofte med omfattende systemrettigheder. Platformen kan få adgang til lokale filer, eksterne tjenester og udviklingsværktøjer. Denne integration øger skadepotentialet ved en vellykket kompromittering.
En kapret AI-agent eksponerer ikke kun applikationsdata. Den kan også give adgang til API-nøgler, følsomme projektfiler og kommunikationslogfiler. I udviklingsmiljøer kan adgangen desuden omfatte test- eller produktionsoplysninger.
Hændelsen peger på et bredere problem inden for AI-værktøjer. Mange agentplatforme prioriterer funktionalitet og automatisering. Udviklere bør give sikker isolering og streng autentificering lige så høj prioritet.
Opdatering og afhjælpning
Efter forskere rapporterede sårbarheden, udgav OpenClaw-teamet en opdateret version. Opdateringen styrker autentificeringskontrollerne og forbedrer, hvordan gatewayen håndterer lokale forbindelser. Den begrænser også muligheden for brute force-angreb via localhost.
Brugere, der kører OpenClaw, bør opdatere til den nyeste version med det samme. Udviklere bør desuden gennemgå firewall-regler og begrænse eksponeringen af lokale tjenester, hvor det er muligt. Overvågning af usædvanlig agentaktivitet giver et ekstra lag beskyttelse.
Organisationer, der integrerer AI-agenter i deres arbejdsgange, bør gennemføre sikkerhedsgennemgange. Lokale tjenester må aldrig antage, at localhost-trafik automatisk er sikker.
Konklusion
ClawJacked-sårbarheden viste, hvordan browserbaserede scripts kan udnytte usikre lokale tjenester. Et enkelt besøg på en ondsindet hjemmeside kunne kapre en kraftfuld AI-agent uden brugerens viden. Opdateringen lukker den konkrete svaghed, men læringen rækker længere. AI-agenter med systemadgang kræver streng autentificering, tydelig isolering og effektive begrænsninger mod automatiserede angreb. Efterhånden som automatiseringsværktøjer bliver mere avancerede, skal sikkerhedsdesignet udvikle sig i samme tempo.
0 svar til “ClawJacked-sårbarhed eksponerede OpenClaw for webkapring”