IT资源栈开源 AI 助手 OpenClaw(原名 Moltbot)近日被披露存在严重的远程代码执行(RCE)漏洞。该漏洞源于控制台直接信任 URL 参数中的 gatewayUrl,导致用户点击恶意链接后,存储的认证 Token 会自动发送给攻击者。攻击者利用该 Token 连接受害者本地 Gateway,通过修改配置关闭执行确认等操作,可调用高权限接口实现任意代码执行。即使服务仅监听回环地址也无法幸免。目前官方已修复该问题并加入了网关地址确认弹窗,建议用户立即升级并在怀疑泄露时轮换 Token。
原文链接:Linux.do
评论前必须登录!
立即登录 注册