AI助手漏洞

2026年初，开源AI代理（Agent）OpenClaw曝出一个高危的One-Click远程代码执行（One-Click RCE）漏洞（CVE-2026-25253）。该漏洞源于其控制界面（Control UI）的设计缺陷，允许攻击者通过诱导用户点击一个精心构造的恶意链接，窃取具有高权限的认证令牌（Token），并最终在受害者的设备上执行任意代码。本文将深入剖析该漏洞的原理、攻击链路、利用代码（POC/EXP），并提供相应的修复方案。