Utviklere som kjører lokale AI-agenter forventer sjelden at et enkelt besøk på en nettside kan føre til kompromittering av systemet. ClawJacked-sårbarheten endret denne antakelsen. Forskere oppdaget at OpenClaws lokale gateway-design gjorde det mulig for ondsinnede nettsteder å kapre AI-agenter som kjørte på brukerens maskin.
Feilen skapte en direkte forbindelse mellom en nettleserfane og et kraftig lokalt automatiseringsverktøy. Angripere kunne utnytte denne forbindelsen til å stjele data, hente logger og utføre kommandoer. Hendelsen viser hvordan AI-agentplattformer kan introdusere nye sikkerhetsrisikoer når de samhandler med lokale tjenester.
Hva er OpenClaw?
OpenClaw er en åpen kildekode-basert AI-agentplattform som kjører lokalt på utviklerens maskin. Plattformen automatiserer oppgaver som meldinger, planlegging, filtilgang og systemkommandoer. Mange utviklere bruker verktøyet for å effektivisere arbeidsflyter og integrere AI i daglige operasjoner.
For å administrere agenter kjører OpenClaw en lokal gateway-tjeneste. Tjenesten kommuniserer via WebSocket-tilkoblinger. Gatewayen autentiserer enheter og håndterer forespørsler om agentkontroll. Denne arkitekturen ble inngangspunktet for angrepet.
Hvordan ClawJacked-sårbarheten fungerte
Sårbarheten oppsto i måten OpenClaw håndterte localhost-tilkoblinger på. Gatewayen stolte på tilkoblinger som kom fra den lokale maskinen. Nettlesere kan åpne WebSocket-tilkoblinger til localhost uten å utløse vanlige cross-origin-beskyttelser.
En angriper trengte bare at offeret besøkte en ondsinnet nettside. Innebygd JavaScript på siden startet en WebSocket-tilkobling til den lokale OpenClaw-gatewayen. Fordi gatewayen manglet effektive brute force-beskyttelser for localhost-forespørsler, kunne angriperen raskt gjette passord.
Når angriperen autentiserte seg, godkjente gatewayen automatisk tilkoblingen som en betrodd enhet. Ingen brukerinteraksjon eller bekreftelse dukket opp. På det tidspunktet fikk angriperen kontroll over AI-agenten.
Med denne tilgangen kunne angriperen:
- Hente ut lagrede legitimasjoner
- Få tilgang til logger og samtalehistorikk
- Samhandle med tilkoblede tjenester
- Utføre automatiserte kommandoer via agenten
Selv sterke passord ga begrenset beskyttelse i denne arkitekturen. Automatiserte gjetteforsøk kunne kjøres i høy hastighet uten meningsfulle begrensninger.
Sikkerhetskonsekvenser
OpenClaw kjører ofte med omfattende systemrettigheter. Plattformen kan få tilgang til lokale filer, eksterne tjenester og utviklingsverktøy. Denne integrasjonen øker skadepotensialet ved en vellykket kompromittering.
En kapret AI-agent eksponerer ikke bare applikasjonsdata. Den kan også gi tilgang til API-nøkler, sensitive prosjektfiler og kommunikasjonslogger. I utviklingsmiljøer kan denne tilgangen også omfatte staging- eller produksjonslegitimasjon.
Hendelsen peker på et bredere problem innen AI-verktøy. Mange agentplattformer prioriterer funksjonalitet og automatisering. Utviklere må gi sikker isolasjon og streng autentisering like høy prioritet.
Oppdatering og tiltak
Etter at forskere rapporterte sårbarheten, publiserte OpenClaw-teamet en oppdatert versjon. Oppdateringen styrker autentiseringskontrollene og forbedrer hvordan gatewayen håndterer lokale tilkoblinger. Den begrenser også muligheten for brute force-angrep via localhost.
Brukere som kjører OpenClaw bør oppdatere umiddelbart til nyeste versjon. Utviklere bør også gjennomgå brannmurregler og begrense eksponering av lokale tjenester der det er mulig. Overvåking av uvanlig agentaktivitet gir et ekstra beskyttelseslag.
Organisasjoner som integrerer AI-agenter i arbeidsflyter bør gjennomføre sikkerhetsvurderinger. Lokale tjenester må aldri anta at localhost-trafikk automatisk er trygg.
Konklusjon
ClawJacked-sårbarheten viste hvordan nettleserbaserte skript kan utnytte usikre lokale tjenester. Ett enkelt besøk på en ondsinnet nettside kunne kapre en kraftig AI-agent uten at brukeren merket det. Oppdateringen lukker den konkrete svakheten, men lærdommen går lenger. AI-agenter med systemtilgang krever streng autentisering, tydelig isolasjon og effektive begrensninger mot automatiserte angrep. Etter hvert som automatiseringsverktøy blir mer avanserte, må sikkerhetsdesignet utvikle seg i samme tempo.
0 responses to “ClawJacked-sårbarhet eksponerte OpenClaw for kapring av nettsteder”