PANews 3月2日消息,GoPlus中文社区发布预警,OpenClaw Gateway现高危漏洞,请立即升级至2026.2.25或更高版本,审计并撤销授予Agent实例的不必要凭证、API密钥和节点权限。其分析称,OpenClaw通过绑定到本地主机的WebSocket Gateway运行,该Gateway作为Agent的核心协调层,是OpenClaw的重要组成部分。此次攻击针对的就是Gateway层的弱点,只需满足一个条件:用户在浏览器中访问被黑客控制的恶意网站。
完整攻击链如下:
1.受害者在其浏览器中访问攻击者控制的恶意网站;
2.页面中的JavaScript向本地主机上的OpenClaw网关发起WebSocket连接;
3.之后,攻击脚本以每秒数百次尝试暴力破解网关密码;
4.破解成功后,攻击脚本静默注册为受信任设备;
5.攻击者获得Agent的管理员级控制权;
免责声明:本页面信息可能来自第三方,不代表 Gate 的观点或意见。页面显示的内容仅供参考,不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证,对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为,价格波动剧烈,您可能损失全部投资本金。请充分了解相关风险,并根据自身财务状况和风险承受能力谨慎决策。具体内容详见
声明。
相关文章
西班牙马德里一名33岁加拿大籍加密货币企业主遭绑架,两名嫌疑人被捕
西班牙马德里发生一起绑架案,33岁加拿大加密货币企业主被多名男子强行拘禁,意图窃取BTC及私钥。警方及时解救并逮捕两名嫌疑人,案件涉及预谋跟踪和物理胁迫攻击,仍在调查中。
GateNews6小时前
Bitrefill 网络攻击事件暴露了18,500条记录,怀疑与拉撒路集团有关
Bitrefill在2026年3月1日遭受了与拉撒路集团相关的网络攻击,导致18,500条用户记录泄露和资金被盗。该公司将承担所有损失,并已实施增强的安全措施。
TheNewsCrypto8小时前
某 CEX 警示:TON 网络上标记为"BTC"的代币为诈骗代币,正协助用户处理
某CEX回应用户称,比特币不在TON网络上,用户所转入的为标记为"BTC"的代币,实为诈骗代币。该交易所正在协助找回资产,但处理复杂且耗时,提醒用户警惕误操作和诈骗风险。
GateNews9小时前
印度男子成为假加密投资诈骗受害者,损失₹71.6万
一位马哈拉施特拉邦保险顾问在加密货币投资诈骗中损失了₹71.6万卢比,这反映了印度在线欺诈的上升趋势。根据国家网络犯罪举报门户网站报告,2025年已有超过24万起投诉和₹22,495亿卢比的损失被报告。对更清晰的加密货币监管的呼声不断增长。
TheNewsCrypto9小时前
三名青少年在美国起诉 xAI,指控 Grok 生成儿童性剥削图像
三名青少年女性在加州联邦法院起诉Elon Musk旗下的xAI,指控其聊天机器人Grok未经同意生成儿童性剥削图像,要求赔偿并禁令禁止此类内容生成。诉状称,该功能已生成逾2万张相关图像,受害者包括至少18名未成年人。
GateNews10小时前
