Utvecklare som kör lokala AI-agenter förväntar sig sällan att ett enkelt webbplatsbesök ska leda till en systemkompromettering. ClawJacked-sårbarheten förändrade den föreställningen. Forskare upptäckte att OpenClaws lokala gateway-design gjorde det möjligt för skadliga webbplatser att kapa AI-agenter som kördes på användarens dator.
Felet skapade en direkt koppling mellan en webbläsarflik och ett kraftfullt lokalt automationsverktyg. Angripare kunde utnyttja denna väg för att stjäla data, få tillgång till loggar och köra kommandon. Händelsen visar hur AI-agentplattformar kan introducera nya säkerhetsrisker när de interagerar med lokala tjänster.
Vad är OpenClaw?
OpenClaw är en öppen AI-agentplattform som körs lokalt på utvecklarens dator. Plattformen automatiserar uppgifter som meddelanden, schemaläggning, filåtkomst och systemkommandon. Många utvecklare använder verktyget för att effektivisera arbetsflöden och integrera AI i det dagliga arbetet.
För att hantera agenter kör OpenClaw en lokal gateway-tjänst. Tjänsten kommunicerar via WebSocket-anslutningar. Gatewayen autentiserar enheter och hanterar förfrågningar om agentkontroll. Det var just denna arkitektur som öppnade dörren för attacken.
Så fungerade ClawJacked-sårbarheten
Sårbarheten uppstod i hur OpenClaw hanterade anslutningar via localhost. Gatewayen litade på anslutningar som kom från den lokala maskinen. Samtidigt kan webbläsare öppna WebSocket-anslutningar till localhost utan att utlösa vanliga cross-origin-skydd.
En angripare behövde endast få offret att besöka en skadlig webbplats. Inbäddad JavaScript-kod på sidan initierade en WebSocket-anslutning till den lokala OpenClaw-gatewayen. Eftersom gatewayen saknade effektiva skydd mot brute force-försök via localhost kunde angriparen snabbt gissa lösenord.
När angriparen lyckades autentisera sig godkände gatewayen automatiskt anslutningen som en betrodd enhet. Ingen användarbekräftelse eller varning visades. Därefter fick angriparen full kontroll över AI-agenten.
Med denna åtkomst kunde angriparen:
- Extrahera lagrade inloggningsuppgifter
- Få tillgång till loggar och konversationshistorik
- Interagera med anslutna tjänster
- Köra automatiserade kommandon via agenten
Även starka lösenord gav begränsat skydd i denna design. Automatiserade gissningsförsök kunde genomföras i hög hastighet utan tydliga begränsningar.
Säkerhetspåverkan
OpenClaw körs ofta med omfattande systembehörigheter. Plattformen kan komma åt lokala filer, externa tjänster och utvecklingsverktyg. Denna integration ökar skadan vid en lyckad kompromettering.
En kapad AI-agent exponerar inte enbart applikationsdata. Den kan även ge åtkomst till API-nycklar, känsliga projektfiler och kommunikationshistorik. I utvecklingsmiljöer kan sådan åtkomst dessutom omfatta test- eller produktionsuppgifter.
Incidenten belyser ett bredare problem inom AI-verktyg. Många agentplattformar prioriterar funktionalitet och automatisering. Säker isolering och strikt autentisering måste få samma uppmärksamhet.
Åtgärd och skydd
Efter att forskare rapporterade bristen släppte OpenClaw-teamet en uppdaterad version. Den nya versionen stärker autentiseringskontrollerna och förbättrar hur gatewayen hanterar lokala anslutningar. Uppdateringen begränsar också möjligheten att genomföra brute force-attacker via localhost.
Användare som kör OpenClaw bör omedelbart uppdatera till den senaste versionen. Utvecklare bör dessutom se över brandväggsregler och begränsa exponeringen av lokala tjänster där det är möjligt. Övervakning av ovanlig agentaktivitet ger ytterligare skydd.
Organisationer som integrerar AI-agenter i sina arbetsflöden bör genomföra säkerhetsgranskningar. Lokala tjänster får aldrig anta att localhost-trafik automatiskt är säker.
Slutsats
ClawJacked-sårbarheten visade hur webbläsarbaserade skript kan utnyttja osäkra lokala tjänster. Ett enda besök på en skadlig webbplats kunde kapa en kraftfull AI-agent utan att användaren märkte det. Uppdateringen åtgärdar den specifika bristen, men lärdomen sträcker sig längre. AI-agenter med systemåtkomst kräver strikt autentisering, tydlig isolering och effektiva begränsningar mot automatiserade attacker. I takt med att automationsverktyg blir mer avancerade måste säkerhetsdesignen utvecklas i samma tempo.
0 svar till ”ClawJacked-sårbarhet exponerade OpenClaw för webbkapning”