Context: Why This Matters Right Now
AI agents are moving from cloud-only deployments to local machines. That shift brings speed and privacy benefits. It also brings new attack surfaces that security teams haven't fully mapped yet. And when you're running AI agents locally—connected to the web through WebSocket protocols—you're trusting that those connections are locked down. According to The Hacker News, OpenClaw just learned the hard way that they weren't.
The ClawJacked vulnerability represents exactly the kind of flaw that keeps security leaders awake: it doesn't require plugins, doesn't need user interaction, and it works against the bare system.
What We Know
OpenClaw discovered and patched a high-severity vulnerability in its core gateway that allowed malicious websites to hijack locally running AI agents through WebSocket connections. The flaw affected the standard OpenClaw deployment without requiring any extensions or add-ons—it was baked into the base product.
The vulnerability had demonstrated attack potential. This wasn't theoretical. Someone built a working exploit.
The timeline here matters: disclosure came with a patch, which suggests responsible handling. But the fact that this made it into a production release at all is worth questioning. Frankly, this should have been caught in security review before shipping.
How It Works
Here's the technical breakdown: OpenClaw's gateway handles WebSocket connections from local AI agents. These connections were supposed to be isolated and authenticated. They weren't properly validated. A malicious website—one you visit in your browser—could establish its own WebSocket connection to your local OpenClaw gateway and impersonate or control the AI agents running there.
Think about what that means.
Your browser has network access to localhost. Your AI agent runs on localhost. There was nothing stopping a JavaScript payload on a malicious site from reaching across and talking directly to your agent's gateway. The attacker doesn't need to be on your network. Doesn't need admin access. Doesn't need you to download anything. Just visit the wrong website, and the attack unfolds in the background.
And because this targets the core gateway—not a plugin layer or an optional component—every OpenClaw installation was potentially exposed.
Why It Matters
Local AI agents are increasingly handling sensitive workloads. Document processing. Code generation. Data analysis. Customer interactions. If an attacker can hijack those agents, they're not just compromising one service—they're potentially accessing the data those agents touch, manipulating outputs, and establishing persistent access to your systems.
This is particularly nasty because it's browser-based. Your endpoint protection might be excellent. Your network segmentation might be tight. But if an employee visits a compromised site or clicks a malicious ad, it's game over. The attacker gets a direct line to their AI infrastructure.
The real question is: how many organizations running OpenClaw didn't realize their local deployments were exposed to web-based attacks?
Next Steps
Update immediately. If you're running OpenClaw, treat this as critical. The patch is available—apply it without delay.
Second, audit your WebSocket implementations. Not just OpenClaw, but anywhere you're exposing local services to network access. Validate origins. Authenticate connections. Don't assume localhost is safe just because it's local.
Third, review your AI agent deployments from a threat modeling perspective. Where are they running? What data do they access? How are they exposed to the network? Build that map now, before the next vulnerability makes it urgent.
And if you haven't patched yet and someone visited a suspicious site recently, you've got incident response work ahead of you.
Контекст: Чому це важливо прямо зараз
AI агенти переміщуються з виключно хмарних розгортань на локальні машини. Цей перехід приносить переваги в швидкості та приватності. Але він також створює нові поверхні атак, які команди безпеки ще не повністю картографували. І коли ви запускаєте AI агенти локально—підключені до веб-мережі через WebSocket протоколи—ви покладаєтеся на те, що ці з'єднання надійно захищені. За словами The Hacker News, OpenClaw щойно дізналися це важко, що це не так.
Вразливість ClawJacked являє собою саме той тип помилки, від якої безсонні ночі мають лідери безпеки: вона не вимагає додатків, не потребує взаємодії користувача та працює проти базової системи.
Що ми знаємо
OpenClaw виявила та закрила критичну вразливість у своєму основному шлюзі, яка дозволяла шкідливим веб-сайтам перехопити локально запущені AI агенти через WebSocket з'єднання. Вразливість вплинула на стандартне розгортання OpenClaw без необхідності будь-яких розширень чи додатків—вона була вбудована у базовий продукт.
Вразливість мала продемонстрований потенціал атаки. Це не було теоретичним. Хтось створив робочий експлойт.
Часова шкала тут важлива: розкриття прийшло разом з патчем, що свідчить про відповідальне вирішення. Але той факт, що це потрапило в production-реліз взагалі, варто поставити під сумнів. Щиро кажучи, це повинно було бути виявлено під час перевірки безпеки перед випуском.
Як це працює
Ось технічний розбір: шлюз OpenClaw обробляє WebSocket з'єднання від локальних AI агентів. Ці з'єднання мали бути ізольовані та автентифіковані. Вони не були належним чином перевірені. Шкідливий веб-сайт—той, який ви відвідуєте у своєму браузері—міг установити своє власне WebSocket з'єднання з вашим локальним шлюзом OpenClaw і видавати себе за ваші AI агенти або контролювати їх.
Подумайте про те, що це означає.
Ваш браузер має мережевий доступ до localhost. Ваш AI агент запущений на localhost. Ніщо не завадило JavaScript корисному навантаженню на шкідливому сайті дістатися та спілкуватися безпосередньо з шлюзом вашого агента. Зловмисник не повинен бути у вашій мережі. Не потребує прав адміністратора. Не потребує того, щоб ви щось завантажували. Просто відвідайте неправильний веб-сайт, і атака розгортається у фоновому режимі.
І оскільки це націлено на основний шлюз—не на рівень плагінів чи необов'язковий компонент—кожна установка OpenClaw була потенційно скомпрометована.
Чому це важливо
Локальні AI агенти все частіше обробляють чутливі робочі навантаження. Обробка документів. Генерація коду. Аналіз даних. Взаємодія з клієнтами. Якщо зловмисник може перехопити ці агенти, вони не просто компрометують один сервіс—вони потенційно отримують доступ до даних, які торкаються ці агенти, маніпулюють результатами та встановлюють постійний доступ до ваших систем.
Це особливо неприємно, оскільки це базується на браузері. Ваш захист кінцевих точок може бути відмінним. Ваша сегментація мережі може бути жорсткою. Але якщо співробітник відвідає скомпрометований сайт або натисне на шкідливу рекламу, це скінчено. Зловмисник отримує прямий канал до своєї AI інфраструктури.
Реальне питання: скільки організацій, що запускають OpenClaw, не розуміли, що їхні локальні розгортання були піддані веб-базованим атакам?
Наступні кроки
Оновіться негайно. Якщо ви запускаєте OpenClaw, розглядайте це як критичне. Патч доступний—застосуйте його без затримок.
По-друге, аудит ваших WebSocket реалізацій. Не тільки OpenClaw, а скрізь, де ви виставляєте локальні сервіси для мережевого доступу. Перевіряйте походження. Автентифікуйте з'єднання. Не припускайте, що localhost безпечний тільки тому, що він локальний.
По-третє, перегляньте ваші розгортання AI агентів з перспективи моделювання загроз. Де вони запущені? До яких даних вони мають доступ? Як вони виставлені для мережевого доступу? Побудуйте цю карту зараз, до того як наступна вразливість зробить це невідкладним.
І якщо ви ще не застосували патч і хтось недавно відвідав підозрілий сайт, перед вами лежить робота з реагування на інциденти.