Một lỗ hổng bảo mật mức độ nghiêm trọng cao đã được tiết lộ trong OpenClaw (trước đây được gọi là Clawdbot và Moltbot) có thể cho phép thực thi mã từ xa (RCE) thông qua một liên kết độc hại được tạo thủ công.
Vấn đề này, được theo dõi là CVE-2026-25253 (điểm CVSS: 8.8), đã được khắc phục trong phiên bản 2026.1.29 phát hành vào ngày 30 tháng 01 năm 2026. Nó được mô tả là một lỗ hổng token exfiltration dẫn đến việc thỏa hiệp hoàn toàn gateway.
"Giao diện người dùng Control UI tin tưởng gatewayUrl từ chuỗi truy vấn mà không xác thực và tự động kết nối khi tải, gửi token gateway đã lưu trữ trong payload kết nối WebSocket," Peter Steinberger, người tạo và duy trì OpenClaw, cho biết trong một bản tư vấn.
"Việc nhấp vào một liên kết được tạo thủ công hoặc truy cập một trang web độc hại có thể gửi token đến một máy chủ do kẻ tấn công kiểm soát. Kẻ tấn công sau đó có thể kết nối với gateway cục bộ của nạn nhân, sửa đổi config (sandbox, tool policies) và thực hiện các hành động đặc quyền, đạt được 1-click RCE."
OpenClaw là một trợ lý cá nhân AI mã nguồn mở, tự động, chạy cục bộ trên thiết bị người dùng và tích hợp với nhiều nền tảng nhắn tin khác nhau. Mặc dù ban đầu được phát hành vào tháng 11 năm 2025, dự án đã nhanh chóng trở nên phổ biến trong những tuần gần đây, với kho lưu trữ GitHub của nó vượt qua 149.000 lượt gắn dấu sao tính đến thời điểm viết bài.
"OpenClaw là một nền tảng agent mở chạy trên máy của bạn và hoạt động từ các ứng dụng trò chuyện bạn đã sử dụng," Steinberger cho biết. "Không giống như các trợ lý SaaS nơi dữ liệu của bạn nằm trên máy chủ của người khác, OpenClaw chạy nơi bạn chọn – laptop, homelab hoặc VPS. Cơ sở hạ tầng của bạn. Khóa của bạn. Dữ liệu của bạn."
Mav Levin, nhà nghiên cứu bảo mật sáng lập tại depthfirst, người được ghi nhận đã phát hiện ra lỗ hổng, cho biết rằng nó có thể bị khai thác để tạo ra một chuỗi exploit RCE chỉ với một cú nhấp chuột, chỉ mất vài mili giây sau khi nạn nhân truy cập một trang web độc hại.
Vấn đề là việc nhấp vào liên kết đến trang web đó là đủ để kích hoạt một cuộc tấn công cross-site WebSocket hijacking vì máy chủ OpenClaw không xác thực tiêu đề WebSocket origin. Điều này khiến máy chủ chấp nhận các yêu cầu từ bất kỳ trang web nào, qua đó phá vỡ các hạn chế mạng localhost.
Một trang web độc hại có thể lợi dụng vấn đề này để thực thi client-side JavaScript trên trình duyệt của nạn nhân, từ đó có thể truy xuất một authentication token, thiết lập kết nối WebSocket với máy chủ và sử dụng token bị đánh cắp để bypass authentication và đăng nhập vào instance OpenClaw của nạn nhân.
Để mọi thứ tồi tệ hơn, bằng cách tận dụng các scope đặc quyền operator.admin và operator.approvals của token, kẻ tấn công có thể sử dụng API để vô hiệu hóa xác nhận của người dùng bằng cách đặt "exec.approvals.set" thành "off" và thoát khỏi container được sử dụng để chạy shell tools bằng cách đặt "tools.exec.host" thành "gateway."
"Điều này buộc agent chạy các lệnh trực tiếp trên máy chủ, chứ không phải bên trong một Docker container," Levin nói. "Cuối cùng, để đạt được việc thực thi lệnh tùy ý, kẻ tấn công JavaScript thực hiện một yêu cầu node.invoke."
Steinberger lưu ý trong bản tư vấn rằng "lỗ hổng này có thể bị khai thác ngay cả trên các instance được cấu hình để chỉ lắng nghe trên loopback, vì trình duyệt của nạn nhân khởi tạo kết nối outbound."
"Nó ảnh hưởng đến bất kỳ triển khai Moltbot nào mà người dùng đã xác thực vào Control UI. Kẻ tấn công có quyền truy cập cấp operator vào gateway API, cho phép thay đổi config tùy ý và thực thi mã trên máy chủ gateway. Cuộc tấn công hoạt động ngay cả khi gateway binds với loopback vì trình duyệt của nạn nhân đóng vai trò là cầu nối."
