简要结论:这款 VPS 更适合比较在意国内访问线路的用户。主要优点是核心配置和适用场景比较明确,适合作为初筛参考;需要注意的是购买前需要核对价格、流量、带宽、机房和续费规则。
- 适合:比较在意国内访问线路的用户
- 优点:核心配置和适用场景比较明确,适合作为初筛参考
- 注意:购买前需要核对价格、流量、带宽、机房和续费规则
OpenClaw(原Moltbot/ClawdBot)是一个开源AI助手项目,最近被曝出一个高危RCE漏洞。攻击者只需诱导用户点击恶意链接,就能获取认证Token,并最终实现远程代码执行。项目官网为 https://openclaw.ai/,漏洞信息源自depthfirst的1-Click RCE Exploit Kill Chain分析。文章源自主机测评网-https://www.zjcp.cc/51776.html
文章源自主机测评网-https://www.zjcp.cc/51776.html
文章源自主机测评网-https://www.zjcp.cc/51776.html
文章源自主机测评网-https://www.zjcp.cc/51776.html
如果当前使用该项目,建议立即检查版本并关注漏洞细节。该漏洞源于控制台对URL中gatewayUrl参数的过度信任,没有进行地址校验,导致攻击链条顺利展开。整个过程分为三个阶段。文章源自主机测评网-https://www.zjcp.cc/51776.html
漏洞触发阶段
- 自动连接与Token泄露:控制台加载时直接读取gatewayUrl参数并尝试连接恶意服务器。用户点击链接后,本地存储的认证Token会随WebSocket握手请求发送给攻击者服务器。
- 权限接管:获取Token后,攻击者获得用户OpenClaw实例的控制权。即使服务运行在本地回环地址127.0.0.1,攻击者也能通过Token远程连接本地网关。
- 远程代码执行(RCE):攻击者修改配置文件,关闭用户确认提示、调整工具调用策略,并调用高权限接口,最终在受害者机器上执行任意代码,实现完全控制。
影响范围
受影响版本为v2026.1.28及以下。风险等级高,用户只需点击一次恶意链接,无需进一步交互即可中招。项目在2026年初经历品牌重塑和快速迭代,版本号采用基于日期的格式,如v2026.1.30。文章源自主机测评网-https://www.zjcp.cc/51776.html
修复方法与更新渠道
官方已发布补丁,新版本添加网关地址确认弹窗,防止自动连接未知地址。以下是主要更新入口。文章源自主机测评网-https://www.zjcp.cc/51776.html
GitHub官方仓库
入口:github.com/openclaw/openclaw/releases
最新版本:截至2026年2月初为v2026.1.30。
修复内容:限制媒体解析器中的本地路径提取(防LFI漏洞),优化Telegram/Discord连接稳定性。提供源代码和预编译文件(如.dmg、.zip)。文章源自主机测评网-https://www.zjcp.cc/51776.html
NPM包管理器
命令行安装的用户可运行:
npm install -g openclaw@latest
更新后执行:
openclaw doctor
注意:旧包名moltbot已废弃,需迁移至openclaw。文章源自主机测评网-https://www.zjcp.cc/51776.html
官方文档与部署
文档入口:docs.openclaw.io 或GitHub仓库内DOCS.md。
Docker镜像:docker pull openclaw/openclaw:latest。
适用于Railway、Cloudflare等平台的一键部署。文章源自主机测评网-https://www.zjcp.cc/51776.html
额外变更与操作建议
v2026.1.29+版本移除auth: none模式,现在强制要求配置token或password。更新后若无法连接,检查config.yaml或环境变量,确保设置认证信息。
其他防护措施包括:轮换Token(尤其是疑似点击过不明链接时,废弃旧Token);避免点击社交平台上带?gatewayUrl=…参数的OpenClaw控制台链接。
适合使用该项目的用户
OpenClaw适合AI开发者、自动化脚本使用者或需要本地AI助手的用户。它提供控制台界面和网关连接,支持Telegram/Discord集成。但鉴于近期漏洞,优先选择有安全意识的开发者。新手可从Docker部署入手,避免手动配置风险。
购买前注意事项
虽为开源免费项目,但部署时需自备环境(如本地机器或云服务器)。更新前备份配置文件,验证补丁应用后运行doctor诊断。以官方GitHub releases页面为准,确认最新版本和变更日志。项目迭代快,定期检查公告,避免使用旧版暴露风险。









