OpenClaw安全风险排查:高危漏洞与紧急修复
OpenClaw安全风险排查:高危漏洞与紧急修复
大家好,我是你们的网络安全博主,同时也是一名AI技术爱好者。最近,OpenClaw这个AI智能体平台可谓风头正劲,帮助无数开发者和企业实现了自动化工作流。然而,随着功能的快速迭代,安全问题也开始集中爆发——就在3月份,GitHub Advisory Database一口气披露了数十个OpenClaw相关漏洞,国家信息安全漏洞数据库(NVDB)也收录了多款高危漏洞。作为一名关注AI安全的技术人,我第一时间梳理了这些漏洞,并结合奇安信CERT的详细报告,为大家带来这篇实用的安全排查与修复指南。
一、OpenClaw漏洞全景:14个核心漏洞,5个高危
本次披露的漏洞覆盖了认证绕过、命令注入、信息泄露、权限越权等多个维度,其中高危漏洞5个(含2个CVE编号),中危漏洞9个。最令人担忧的是,已有2个漏洞被发现在野利用,攻击者可直接实现未授权远程代码执行,对公网暴露的实例构成严重威胁。
高危漏洞(5个)
| 漏洞编号/标识 | 漏洞描述 | 影响版本 | 修复版本 | CVSS评分 |
|---|---|---|---|---|
| GHSA-6mgf-v5j7-45cr | fetch-guard组件跨域重定向时转发授权头,导致凭证泄露 | ≤2026.3.2 | ≥2026.3.7 | 高危 |
| GHSA-rchv-x836-w7xp | 管理仪表盘将网关认证信息明文存入URL和localStorage | ≤2026.3.2 | ≥2026.3.7 | 7.1 |
| CVE-2026-25253 | Control UI接受任意gatewayUrl参数,WebSocket直传令牌 | ≤2026.1.29 | ≥2026.1.29 | 8.8 |
| CVE-2026-25157 | API端点未过滤参数,可直接注入系统命令 | <2026.1.29 | ≥2026.1.29 | 8.1 |
| CVE-2026-24763 | 插件接口沙箱被绕过,恶意插件执行系统命令 | <2026.1.29 | ≥2026.1.29 | 7.8 |
中危漏洞(9个)
包括:本地主机信任绕过(CVE-2026-25475)、沙箱ACP请求初始化主机会话、system.run持久化含shell注释载荷、operator.write越权写入管理员配置、system.run包装深度绕过shell审批、跨账户发送者授权扩展、system.run白名单漏检PowerShell编码命令、system.run环境变量覆盖允许危险命令支点、钩子将非POST请求计入认证锁止。
这些中危漏洞虽然评分稍低,但攻击者组合利用后同样能实现权限提升或数据窃取,不可掉以轻心。
二、核心漏洞技术分析:攻击者如何得手?
1. 跨域重定向导致授权令牌泄露(GHSA-6mgf-v5j7-45cr)
攻击场景:攻击者构造一个恶意链接,诱导OpenClaw用户访问。当fetch-guard组件处理跨域重定向时,会将请求头中的Authorization字段原封不动地转发给重定向后的域名(攻击者服务器)。若用户已登录,令牌便落入敌手。
潜在危害:攻击者利用令牌冒充用户,调用API执行文件操作、系统命令,甚至完全接管AI代理。
2. 信息泄露:网关认证材料无处遁形(GHSA-rchv-x836-w7xp)
攻击场景:OpenClaw管理仪表盘将网关认证信息(如密码、密钥)明文放在URL查询参数和localStorage中。若用户使用共享电脑,或浏览器被XSS攻击,攻击者可直接从历史记录或本地存储中提取凭证。
潜在危害:网关是整个系统的核心枢纽,凭证泄露意味着攻击者可控制所有AI代理,执行任意系统级任务。
3. 远程代码执行:gatewayUrl参数无校验(CVE-2026-25253)
攻击场景(已在野利用):攻击者发送包含恶意gatewayUrl的链接,用户点击后,Control UI自动向该地址建立WebSocket连接,并将认证令牌一并发送。攻击者服务器接收令牌后,立即模拟用户接管代理。
潜在危害:以OpenClaw运行权限在宿主机执行任意命令,横向渗透内网。
4. 命令注入:API端点无过滤(CVE-2026-25157)
攻击场景:攻击者直接向存在漏洞的API发送精心构造的请求,参数中包含系统命令(如; rm -rf /),由于未做过滤,命令被执行。
潜在危害:服务器权限被夺,数据全量泄露。
5. 沙箱绕过:恶意插件突破限制(CVE-2026-24763)
攻击场景:攻击者开发看似正常的插件,但内部包含命令注入代码。用户安装后,插件利用接口缺陷直接调用系统命令,绕过沙箱隔离。
潜在危害:主机系统被植入恶意程序,配置被篡改。
三、修复与升级路径:三步走,远离风险
OpenClaw的修复版本主要分为三个里程碑:2026.1.29、2026.2.01、2026.3.7/2026.3.8-beta.1。请根据当前版本选择升级路径:
| 当前版本范围 | 升级目标 | 修复重点 |
|---|---|---|
| < 2026.1.29 | 2026.1.29 | 修复3个CVE高危漏洞(含在野利用RCE),此为紧急升级 |
| 2026.1.29 ≤ 当前 < 2026.2.01 | 2026.2.01 | 修复本地主机信任绕过(CVE-2026-25475),小幅安全补丁 |
| 2026.2.01 ≤ 当前 < 2026.3.8-beta.1 | 2026.3.8-beta.1 | 修复GitHub披露的所有中高危漏洞,新增SSRF防护等功能 |
特别注意:若您使用的是npm版本,建议直接升级至2026.3.8-beta.1,一次性修复所有已知漏洞。升级前务必备份数据,并在测试环境验证兼容性。
四、安全加固建议:不止于升级
- 立即核查版本:所有部署方需立即检查OpenClaw版本,低于2026.1.29的必须优先升级。
- 强化访问控制:避免将网关暴露在公网,配置防火墙规则限制访问IP;开启认证和会话过期机制。
- 插件管理:谨慎安装第三方插件,尽量使用官方审核通过的插件,定期扫描插件代码。
- 监控与日志:启用详细日志,监控异常API调用和WebSocket连接,及时发现攻击行为。
- 个人用户:不点击陌生链接,不使用共享设备登录管理后台,定期清理浏览器缓存。
五、综合处置与长远思考
此次漏洞集中爆发,根源在于OpenClaw快速迭代中安全开发流程滞后。分布式执行、多渠道交互、本地优先等特性放大了问题。作为用户,我们既要紧急修复当前漏洞,也要建立常态化的安全机制:
- 企业级部署:将安全融入CI/CD,部署时即开启严格权限;定期进行渗透测试和漏洞扫描。
- 个人开发者:关注官方安全公告,及时更新;参与社区安全共建,提交代码时做好安全自查。
- 社区层面:官方应加强插件审核,推出安全开发规范,缩短漏洞响应周期。
六、结语
OpenClaw这样的AI智能体框架,正逐渐成为数字世界的基础设施,其安全性直接关系到设备和数据的核心安全。本次漏洞事件为所有开源项目敲响警钟:功能创新绝不能以牺牲安全为代价。对于每一位OpenClaw用户,当下最重要的事就是立即升级,并持续关注安全动态。只有筑牢防线,AI技术才能真正安全地落地生根。
希望本文能帮助大家快速排查风险,如有疑问,欢迎留言交流。网络安全无小事,我们一起守护!
参考链接
- GitHub Security Advisories: https://github.com/openclaw/openclaw/security
- 奇安信CERT原文: 详见公众号“乌雲安全”2026-03-13推送