ClawJacked: เมื่อเว็บอันตรายเข้าควบคุม AI Agent บนเครื่องคุณได้ — และ OpenClaw แก้ยังไง

by

ต้นปี 2026 ทีม Oasis Security ค้นพบช่องโหว่ที่น่าตกใจมากในระบบ OpenClaw AI agent framework — ชื่อว่า ClawJacked

แค่เปิดเว็บไซต์อันตรายในขณะที่ OpenClaw รันอยู่บนเครื่อง ผู้โจมตีสามารถเข้าควบคุม AI agent ของคุณได้อย่างสมบูรณ์ — อ่าน API keys, ดู configs, สั่งงาน agent — โดยไม่ต้องให้คุณคลิกหรืออนุมัติอะไรเลย

ClawJacked คืออะไร?

ClawJacked เป็นช่องโหว่ระดับ High Severity ที่ใช้ประโยชน์จากพฤติกรรมของเบราว์เซอร์และการออกแบบ gateway ของ OpenClaw ร่วมกัน

OpenClaw รัน local gateway บน localhost:18789 ผ่าน WebSocket เพื่อเป็นศูนย์กลางจัดการ AI agents, sessions, และ paired devices ปัญหาคือเบราว์เซอร์ทุกตัวอนุญาตให้ JavaScript บนเว็บไซต์ใดๆ ก็ได้เชื่อมต่อ WebSocket ไปยัง localhost ได้ โดยไม่มีการบล็อก cross-origin

Attack Chain ทีละขั้น

  1. Connection: JavaScript บนเว็บอันตรายเปิด WebSocket ไปที่ ws://localhost:18789 — สำเร็จทันที ไม่มีการ block
  2. Brute-force: gateway เดิมไม่มี rate limit สำหรับ localhost connections ทำให้สคริปต์ยิง password ได้หลายร้อยครั้งต่อวินาที รหัสผ่านที่อ่อนแอแตกได้เร็วมาก
  3. Auto-registration: เมื่อ authenticate สำเร็จ สคริปต์ลงทะเบียนตัวเองเป็น “trusted node” — ระบบเดิม auto-approve localhost pairings โดยไม่ขอการยืนยันจากผู้ใช้
  4. Full control: ผู้โจมตีได้ admin access — อ่าน configs, API keys, logs, รายการ paired devices และสามารถส่งคำสั่งให้ agent ทำงานได้

ทั้งหมดนี้เกิดขึ้นเงียบสนิท ไม่มี popup ไม่มี notification ไม่มีอะไรให้สังเกตเห็น

OpenClaw แก้ไขอย่างไรใน v2026.2.26

หลังจาก Oasis Security รายงานแบบ responsible disclosure ทีม OpenClaw ปล่อย patch ภายใน 24 ชั่วโมง การแก้ไขครอบคลุม 3 จุดหลัก:

  • Rate limiting บน localhost: เพิ่ม throttling สำหรับ authentication attempts แม้จาก localhost — ป้องกัน brute-force
  • Origin validation: เพิ่มการตรวจสอบ origin ของ WebSocket connections ก่อนอนุมัติ pairing
  • Authentication hardening: เสริมความแข็งแกร่งของ auth layer เพื่อป้องกัน session hijacking หลัง brute-force

ปัจจุบัน v2026.3.1 รวม fixes เหล่านี้ไว้แล้วทั้งหมด

สิ่งที่คุณควรทำ

  1. อัปเดตทันที — ถ้าใช้ OpenClaw เวอร์ชันต่ำกว่า v2026.2.26 ให้อัปเดตก่อนเปิดใช้งาน
  2. ตั้งรหัสผ่าน gateway ให้แข็งแรง — ความยาวอย่างน้อย 20 ตัวอักษร random ไม่ใช้ dictionary words
  3. Bind gateway เฉพาะ 127.0.0.1 — ไม่ควร bind กับ 0.0.0.0 หรือ network interface อื่น
  4. ตรวจสอบ paired nodes — revoke node ที่ไม่รู้จักออก จำกัด permission ของ agent ให้เท่าที่จำเป็น
  5. ปิด gateway เมื่อไม่ใช้งาน — ถ้าไม่ได้ใช้อยู่ ไม่ต้องให้มันรันอยู่ตลอดเวลา

บทเรียนสำหรับ AI Agent Security โดยรวม

ClawJacked เปิดเผยปัญหาที่ใหญ่กว่าแค่ OpenClaw — นี่คือ architectural risk ของ local AI agent frameworks ทั้งหมดที่ใช้ WebSocket gateway บน localhost

เบราว์เซอร์ถูกออกแบบมาให้ block cross-origin HTTP requests แต่ WebSocket ไม่ได้รับการป้องกันเดียวกัน ทำให้ทุก framework ที่รัน local WebSocket server มีความเสี่ยงแบบเดียวกันหากไม่ implement origin validation และ rate limiting อย่างถูกต้อง

AI agent ที่รันบนเครื่อง local มักมี permission กว้างมาก — เข้าถึงไฟล์, แอป, ข้อความ, API keys ทำให้ blast radius ของการโดนโจมตีใหญ่กว่า web app ทั่วไปมาก

หลักการที่ควรจำ: local ≠ safe ถ้า agent มี permission เข้าถึงของสำคัญ ให้ดูแลเหมือน production server

สรุป

ClawJacked เป็นตัวอย่างที่ดีของ responsible disclosure ที่ทำงานได้จริง — ค้นพบ รายงาน แพตช์ภายใน 24 ชั่วโมง OpenClaw ตอบสนองได้เร็วและโปร่งใส

แต่มันก็เตือนเราว่า ยิ่ง AI agent ทรงพลังแค่ไหน ยิ่งต้องดูแล security ให้จริงจังเท่านั้น

Leave a Comment