Zranitelnost je způsobena tím, že služba OpenClaw gateway se ve výchozím nastavení váže na localhost a vystavuje rozhraní WebSocket. Protože bezpečnostní politiky prohlížečů cross-origin neblokují WebSocket připojení na localhost, může škodlivá webová stránka navštívená uživatelem OpenClaw použít JavaScript k tichému otevření připojení k lokální gateway a pokusu o autentizaci bez jakýchkoliv varování.

Výzkumníci z Oasis Security demonstrovali, že útok může být proveden pomocí následujícího scénáře: Vývojář má OpenClaw nastaven a běžící na svém notebooku, s gateway - lokálním WebSocket serverem - vázaným na localhost a chráněným heslem. Útok začíná, když vývojář navštíví škodlivou webovou stránku prostřednictvím sociálního inženýrství nebo jiných prostředků.

Škodlivý JavaScript na webové stránce otevře WebSocket připojení k localhost na portu OpenClaw gateway. Skript pak provádí brute-force útok na heslo gateway využitím chybějícího mechanismu omezení rychlosti (rate limiting) pro localhost. Po uhádnutí hesla se skript automaticky zaregistruje jako důvěryhodné zařízení, protože lokální párování nevyžadovalo potvrzení uživatele.

S autentizovaným přístupem získávají útočníci kontrolu na úrovni správce. Mohou přímo komunikovat s AI agentem, extrahovat konfigurační údaje, číst logy, vypisovat připojené uzly a potenciálně provádět příkazy na lokálním systému. Oasis Security ve své ukázce demonstroval krádež citlivých dat prostřednictvím této zranitelnosti.

Výzkumníci uvedli, že v laboratorních testech dosáhli trvalé rychlosti stovek pokusů o uhádnutí hesla za sekundu pouze z JavaScriptu prohlížeče. "Gateway osvobozoval loopback adresu od omezení rychlosti, což umožňovalo stovky pokusů za sekundu bez throttlingu nebo logování," uvedli výzkumníci.

Problém je obzvláště znepokojivý, protože ovlivňuje základní systém samotný - nejsou zapotřebí žádné pluginy, marketplace nebo uživatelsky instalovaná rozšíření - jen holá OpenClaw gateway běžící přesně podle dokumentace. "Naše zranitelnost žije v jádru systému," uvedla společnost Oasis Security.

OpenClaw v posledních týdnech čelil několika bezpečnostním problémům. Kromě ClawJacked byla platforma zranitelná vůči více dalším zranitelnostem (CVE-2026-25593, CVE-2026-24763, CVE-2026-25157, CVE-2026-25475, CVE-2026-26319, CVE-2026-26322, CVE-2026-26329), od středně závažných až po vysoce závažné, které mohly vést ke vzdálenému spuštění kódu, command injection, server-side request forgery (SSRF), obejití autentizace a path traversal.

Nový výzkum také prokázal, že škodlivé skills nahrané na ClawHub, otevřené tržiště pro stahování OpenClaw skills, jsou používány jako kanály k doručování nové varianty Atomic Stealer - macOS infostealer vyvinutý a pronajímaný kyberkriminálním aktérem známým jako Cookie Spider.

Podle společnosti Endor Labs bylo identifikováno 71 škodlivých ClawHub skills šířících malware a krypto podvody. Výzkumníci také varují, že odinstalace nemusí vyřešit všechna rizika, protože přihlašovací údaje a konfigurační soubory mohou zůstat na systému.

Rozsah vystavení je značný. Bezpečnostní výzkumník Maor Dayan identifikoval 42 665 exponovaných instancí OpenClaw, z nichž 5 194 bylo aktivně ověřeno jako zranitelných - s 93,4 % vykazujících podmínky pro obejití autentizace. Vystavení je geograficky rozloženo napříč 52 zeměmi, přičemž Spojené státy a Čína hostí největší část z nich.

Většina nasazení (98,6 %) běží na cloudové nebo hostingové infrastruktuře, především na DigitalOcean, Alibaba Cloud a Tencent. Mnoho operátorů používá reverzní proxy (Nginx, Caddy) nebo Cloudflare Tunnels k umožnění vzdáleného přístupu, ale špatná konfigurace těchto prostředníků často neguje jejich bezpečnostní výhody.

Oprava zpřísnila kontroly zabezpečení WebSocket a znovu aplikovala omezení rychlosti na loopback připojení. Organizace provozující OpenClaw by měly okamžitě aktualizovat na verzi 2026.2.26 nebo novější, aby zabránily únosu svých instalací.

Bezpečnostní experti zdůrazňují, že AI agentské frameworky se stávají běžnějšími v podnikových prostředích, proto musí bezpečnostní analýza evoluce řešit jak tradiční zranitelnosti, tak AI-specifické útočné plochy. Diana Kelley, CISO společnosti Noma Security, poznamenává, že toto je důležitá připomínka, že AI agenti musí být považováni za vysoce privilegované systémy.

The Hacker News

BleepingComputer

Oasis Security