PANews 3月2日消息,GoPlus中文社区发布预警,OpenClaw Gateway现高危漏洞,请立即升级至2026.2.25或更高版本,审计并撤销授予Agent实例的不必要凭证、API密钥和节点权限。其分析称,OpenClaw通过绑定到本地主机的WebSocket Gateway运行,该Gateway作为Agent的核心协调层,是OpenClaw的重要组成部分。此次攻击针对的就是Gateway层的弱点,只需满足一个条件:用户在浏览器中访问被黑客控制的恶意网站。
完整攻击链如下:
1.受害者在其浏览器中访问攻击者控制的恶意网站;
2.页面中的JavaScript向本地主机上的OpenClaw网关发起WebSocket连接;
3.之后,攻击脚本以每秒数百次尝试暴力破解网关密码;
4.破解成功后,攻击脚本静默注册为受信任设备;
5.攻击者获得Agent的管理员级控制权;
免责声明:本页面信息可能来自第三方,不代表 Gate 的观点或意见。页面显示的内容仅供参考,不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证,对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为,价格波动剧烈,您可能损失全部投资本金。请充分了解相关风险,并根据自身财务状况和风险承受能力谨慎决策。具体内容详见
声明。
相关文章
GoPlus:警惕朝鲜黑客发布的26个恶意软件包,可远程下载并执行木马
GoPlus中文社区发布警告称,朝鲜黑客在npm注册表发布26个恶意软件包,这些包可执行隐藏的恶意代码,窃取用户信息。用户应检查软件包来源,避免使用已列出的恶意包,以防隐私泄露和资产损失。
GateNews29 分钟前
前洛杉矶警官绑架青少年抢比特币被判有罪:35万美元数字资产遭窃
前洛杉矶警局警官Eric Halem因与同伙绑架抢劫一名青少年比特币,价值约35万美元,被判有罪。案件突显了加密货币在犯罪中的风险,提醒投资者保护数字资产以防抢劫和诈骗。量刑将于3月31日进行。
GateNews54 分钟前
韩国税务局泄露加密钱包助记词,500万美元数字资产瞬间被盗
3月3日消息,韩国税务机关意外泄露一名逃税嫌疑人的加密货币钱包助记词,导致价值约500万美元的数字资产被盗。事件发生在韩国国税厅(NTS)发布新闻稿时,附带的照片中无意显示了手写助记词,使窃贼能够访问钱包并转走资金。被盗的资产主要为Pre-Retogeum,一种市值约1300万美元的小市值山寨币。汉城大学区块链研究所所长赵在宇(音译)表示,韩国官员对加密货币基本运作缺乏了解,这类泄露凸显了政府在数字资产管理上的漏洞。今年早些时候,检察机关曾丢失并追回价值2000万美元的比特币,随后警方又发生140万美元比特币丢失事件,可见安全管理问题频发。NTS在3月1日声明中表示,正与警方合作,尽力追回泄露
GateNews1小时前
OpenZeppelin 审计 EVMbench 发现数据污染
OpenZeppelin 对 EVMbench 进行审计,发现训练资料遭污染及至少 4 个高危漏洞属于无效伪造问题,这影响了 AI 模型的安全评测能力。若 AI 先前「见过」漏洞报告,将无法真实反映其发现新漏洞的能力,这凸显出基准测试资料及方法论的可信性问题。
Market Whisper2小时前
SANAE TOKEN崩盘!高市早苗否认站台政治币,发币者在日本大火爆
日本首相高市早苗强烈否认参与名为SANAE TOKEN的加密货币发行,该币以她的名义推广,引起社会恐慌,最新报道指币价暴跌超过50%。发行者认为此币推动政治参与,但未经政府授权,受到民众谴责并引发法律问题。投资者应提高警觉,避免金融诈骗。
CryptoCity2小时前
