近期,OpenClaw 作为热门的 AI 智能体平台,帮助无数开发者和企业提升了工作效率。然而,随着功能的快速迭代,一些安全风险也逐渐浮出水面。国家信息安全漏洞数据库(NVDB)已收录其多款高危漏洞;GitHub Advisory Database 更是在 2026 年 3 月集中披露了数十个 OpenClaw 相关安全漏洞,涵盖认证绕过、命令注入、信息泄露、权限越权等多个维度,若公网暴露的实例未及时修复,攻击者可直接实现未授权远程代码执行,对企业和个人数据安全、系统运行造成严重威胁。
当前 OpenClaw 的漏洞分析显示,其安全问题主要集中在权限管控逻辑缺陷、沙箱机制绕过、网络防护不完善、认证校验不严谨四大方面,且多数漏洞因框架的分布式执行特性和多渠道交互设计被放大,低版本实例受影响尤为严重。本文将对 OpenClaw 近期披露的核心漏洞进行技术分析,给出针对性的加固建议和版本升级指南,为相关部署方提供安全参考。
01
高危漏洞警示
本次梳理的 OpenClaw 高危漏洞共 5 个(拥有 CVE 编号漏洞 2 个),均为可直接利用的高风险漏洞,其中 1个已发现在野利用,覆盖认证令牌泄露、命令注入、跨域敏感信息转发、网关认证信息泄露等类型,CVSS 评分最高达 8.8 分。
1. OpenClaw 跨域重定向漏洞(GHSA-6mgf-v5j7-45cr)
危害等级:高危
CVE 编号:待分配
CVSS 评分:7.5
漏洞描述:OpenClaw 的 fetch-guard 组件存在逻辑缺陷,在跨域重定向过程中,会将自定义的授权请求头直接转发至重定向目标地址,导致授权凭证泄露至非可信域名。
影响版本:<= 2026.3.2
修复版本:>= 2026.3.7
攻击场景:攻击者构造恶意跨域重定向链接,诱导 OpenClaw 合法用户访问,fetch-guard 在重定向时将用户的授权头转发至攻击者控制的服务器,获取授权凭证。
潜在危害:攻击者利用泄露的授权凭证实现未授权 API 调用,执行文件操作、系统命令等行为,窃取用户数据或控制 AI 代理。
修复建议:升级至 OpenClaw 2026.3.7 及以上版本,该版本已加强浏览器端 SSRF 防护,拦截私有网络的中间重定向跳跃;在 fetch-guard 组件中添加跨域重定向授权头过滤规则,仅允许向可信域名转发授权信息。
2. OpenClaw 信息泄露漏洞(GHSA-rchv-x836-w7xp)
危害等级:高危
CVE 编号:待分配
CVSS 评分:7.1
漏洞描述:OpenClaw 的管理仪表盘存在信息泄露缺陷,网关认证相关的敏感材料会通过浏览器 URL 查询参数和 localStorage 本地存储进行传输和保存,未做加密和脱敏处理。
影响版本:<= 2026.3.2
修复版本:>= 2026.3.7
攻击场景:攻击者通过物理接触、浏览器漏洞或跨站脚本攻击(XSS),获取目标设备浏览器的 URL 历史或 localStorage 数据,提取网关认证材料;若为共享设备,可直接查看浏览器记录获取认证信息。
潜在危害:攻击者获取网关认证材料后,可直接接管 OpenClaw 网关,控制整个 AI 代理系统,执行任意系统级任务,窃取本地所有数据。
修复建议:升级至 OpenClaw 2026.3.7 及以上版本,移除认证信息在 URL 查询参数中的传输方式,对 localStorage 中存储的认证材料进行高强度加密;添加认证信息的过期机制,短时间无操作自动清除本地存储的认证数据。
3. OpenClaw 远程代码执行漏洞(CVE-2026-25253)
危害等级:高危
CVE 编号:CVE-2026-25253
CVSS 评分:8.8
漏洞描述:OpenClaw Control UI 存在参数处理缺陷,接受查询字符串中的 gatewayUrl 参数,且在自动建立 WebSocket 连接时,会将认证令牌直接传输至该参数指定的地址,未做域名校验。
影响版本:< 2026.1.29
修复版本:>= 2026.1.29
攻击场景:已在野利用,攻击者构造包含恶意 gatewayUrl 参数的钓鱼链接,诱导 OpenClaw 用户访问,Control UI 将认证令牌传输至攻击者控制的 WebSocket 服务器,攻击者利用令牌接管代理。
潜在危害:直接实现未授权远程代码执行,以 OpenClaw 运行权限在宿主机执行任意命令,窃取本地数据、控制设备操作,甚至横向渗透至内网其他设备。
修复建议:立即升级至 2026.1.29 及以上版本,添加 gatewayUrl 参数的可信域名白名单校验,仅允许连接至本地或预配置的可信网关地址;对 WebSocket 传输的认证令牌进行端到端加密,防止中途被窃取。
4. OpenClaw 命令注入漏洞(CVE-2026-25157)
危害等级:高危
CVE 编号:CVE-2026-25157
CVSS 评分:8.1
漏洞描述:OpenClaw 的特定 API 端点存在参数解析缺陷,未对传入的参数进行严格的过滤和校验,攻击者可通过该端点注入任意系统命令。
影响版本:< 2026.1.29
修复版本:>= 2026.1.29
攻击场景:攻击者直接向存在漏洞的 API 端点发送包含恶意命令的请求,参数被直接解析执行,无需额外的身份校验。
潜在危害:以 OpenClaw 运行权限在宿主机执行任意系统命令,实现文件读取、写入、删除,甚至控制设备操作,若为服务器部署,可获取服务器权限。
修复建议:立即升级至 2026.1.29 及以上版本,对所有 API 端点的传入参数进行严格的过滤和转义,禁止包含系统命令的特殊字符;添加 API 端点的访问白名单,仅允许可信 IP 和用户访问。
5. OpenClaw 命令注入漏洞(CVE-2026-24763)
危害等级:高危
CVE 编号:CVE-2026-24763
CVSS 评分:7.8
漏洞描述:OpenClaw 的插件执行接口存在沙箱机制绕过缺陷,恶意插件可突破沙箱限制,直接向接口注入任意系统命令,且命令可被直接执行。
影响版本:< 2026.1.29
修复版本:>= 2026.1.29
攻击场景:攻击者开发包含恶意命令注入代码的插件,诱导用户安装,插件通过执行接口突破沙箱限制,执行恶意系统命令。
潜在危害:绕过沙箱隔离,执行任意系统命令,窃取本地数据、修改系统配置,甚至植入恶意程序,对设备造成永久性破坏。
修复建议:立即升级至 2026.1.29 及以上版本,加强插件执行接口的沙箱防护机制,禁止插件直接调用系统命令;对第三方插件进行严格的安全审核,添加插件代码的静态扫描和动态检测。
02
中危漏洞汇总
GitHub 在 2026 年 3 月 9 日最新披露的漏洞中,有 8 个均为中危漏洞,主要集中在 system.run 组件权限管控缺陷、ACP 会话初始化逻辑问题、认证锁止规则疏漏等方面,影响 OpenClaw 最新版本之前的 npm 发行版,修复版本均为 2026.3.7。同时在 2026 年 2 月 4 日披露的漏洞中,中危漏洞(CVE-2026-25475)已发现在野利用,需要重点关注。 9 个中危漏洞的核心信息梳理:
1. OpenClaw 本地主机信任绕过漏洞(CVE-2026-25475)
危害等级:中危(高危利用风险)
CVE 编号:CVE-2026-25475
CVSS 评分:6.5
漏洞描述:OpenClaw 存在认证逻辑缺陷,错误地将所有来自localhost的连接视为可信来源,未做额外的身份校验,存在信任边界绕过问题。
影响版本:<= 2026.1.30
修复版本:>= 2026.2.01
攻击场景:已在野利用,攻击者控制目标设备上的恶意网站,通过 JavaScript 在本地发起 WebSocket 连接,利用localhost的可信属性绕过 OpenClaw 的认证机制,实现未授权访问。
潜在危害:绕过认证后执行未授权操作,包括文件读取、系统命令调用等,若为服务器端部署,可进一步利用该漏洞获取服务器权限。
修复建议:立即升级至 2026.2.01 及以上版本,取消对localhost连接的无条件信任,为本地连接添加额外的身份校验机制;限制浏览器端 JavaScript 对 OpenClaw 本地网关的调用权限。
2. 沙箱 ACP 请求初始化主机会话(GHSA-9q36-67vc-rrwg)
危害等级:中危
CVE 编号:待分配
CVSS 评分:5.9
漏洞描述:沙箱环境下的 /acp 生成请求可绕过沙箱限制,直接初始化主机端的 ACP 会话,突破沙箱隔离边界。
影响版本:<= 2026.3.2
修复版本:>= 2026.3.7
攻击场景:攻击者在沙箱中构造恶意 /acp 生成请求,触发主机 ACP 会话初始化,获取主机端的 ACP 操作权限。
潜在危害:突破沙箱隔离,在主机端执行 ACP 相关操作,实现权限提升,进一步调用系统资源。
修复建议:升级至 OpenClaw 2026.3.7 及以上版本。
3. system.run 持久化包含 shell 注释载荷尾(GHSA-9q2p-vc84-2rwm)
危害等级:中危
CVE 编号:待分配
CVSS 评分:5.0
漏洞描述:system.run 的 allow-always 持久化机制存在解析缺陷,会将包含 shell 注释的载荷尾保留并执行,绕过命令校验。
影响版本:<= 2026.3.2
修复版本:>= 2026.3.7
攻击场景:攻击者构造包含 shell 注释的恶意命令,利用 allow-always 机制实现命令持久化,注释部分被解析执行。
潜在危害:绕过 system.run 的命令校验,执行未授权的 shell 命令,实现文件操作或系统控制。
修复建议:升级至 OpenClaw 2026.3.7 及以上版本。
4. operator.write 越权写入管理员配置(GHSA-hfpr-jhpq-x4rm)
危害等级:中危
CVE 编号:待分配
CVSS 评分:4.3
漏洞描述:operator.write的 chat.send 接口存在权限管控缺陷,普通用户可通过该接口向管理员专属配置项写入数据,实现权限越权。
影响版本:<= 2026.3.2
修复版本:>= 2026.3.7
攻击场景:普通用户构造特殊的 chat.send 请求,指定管理员专属配置键值,实现越权配置修改。
潜在危害:篡改管理员配置,包括权限规则、白名单、沙箱限制等,进一步实现未授权操作。
修复建议:升级至 OpenClaw 2026.3.7 及以上版本。
5. system.run 包装深度边界绕过 shell 审批(GHSA-r6qf-8968-wj9q)
危害等级:中危
CVE 编号:待分配
CVSS 评分:5.0
漏洞描述:system.run 的 wrapper-depth 边界校验存在逻辑疏漏,当包装深度超过阈值时,会直接跳过 shell 命令的审批门控。
影响版本:<= 2026.3.2
修复版本:>= 2026.3.7
攻击场景:攻击者构造多层嵌套的包装命令,突破 wrapper-depth 阈值,绕过 shell 审批执行恶意命令。
潜在危害:绕过系统的命令审批机制,执行未授权 shell 命令,窃取数据或控制系统。
修复建议:升级至 OpenClaw 2026.3.7 及以上版本。
6. 跨账户发送者授权扩展(GHSA-pjvx-rx66-r3fg)
危害等级:中危
CVE 编号:待分配
CVSS 评分:5.4
漏洞描述:/allowlist 的 --store 参数在账户范围划分时存在缺陷,可实现跨账户的发送者授权扩展,突破账户隔离。
影响版本:<= 2026.3.2
修复版本:>= 2026.3.7
攻击场景:攻击者利用 --store 参数的逻辑缺陷,将自身的发送者权限扩展至其他账户,获取跨账户的操作权限。
潜在危害:突破账户隔离边界,访问其他账户的资源、执行跨账户操作,窃取多账户数据。
修复建议:升级至 OpenClaw 2026.3.7 及以上版本。
7. system.run 白名单漏检 PowerShell 编码命令(GHSA-3h2q-j2v4-6w5r)
危害等级:中危
CVE 编号:待分配
CVSS 评分:5.0
漏洞描述:system.run 的白名单审批解析机制未对 PowerShell 的编码命令包装进行校验,漏检恶意编码命令。
影响版本:<= 2026.3.2
修复版本:>= 2026.3.7
攻击场景:攻击者将恶意命令进行 PowerShell 编码包装,绕过白名单审批,执行未授权操作。
潜在危害:绕过命令白名单,执行 PowerShell 恶意编码命令,实现系统控制和数据窃取。
修复建议:升级至 OpenClaw 2026.3.7 及以上版本。
8. system.run 环境覆盖过滤允许危险命令支点(GHSA-j425-whc4-4jgc)
危害等级:中危
CVE 编号:待分配
CVSS 评分:6.3
漏洞描述:system.run 的环境变量覆盖过滤机制存在缺陷,允许攻击者构造危险的辅助命令支点,实现命令注入。
影响版本:<= 2026.3.2
修复版本:>= 2026.3.7
攻击场景:攻击者通过环境变量覆盖,构造辅助命令支点,进一步注入恶意系统命令。
潜在危害:实现命令注入,以 OpenClaw 权限执行任意系统命令,破坏系统环境或窃取数据。
修复建议:升级至 OpenClaw 2026.3.7 及以上版本。
9. 钩子将非 POST 请求计入认证锁止(GHSA-6rmx-gvvg-vh6j)
危害等级:中危
CVE 编号:待分配
CVSS 评分:5.3
漏洞描述:OpenClaw 的钩子组件存在规则疏漏,将非 POST 请求也计入认证失败次数,触发不必要的认证锁止。
影响版本:<= 2026.3.2
修复版本:>= 2026.3.7
攻击场景:攻击者发送大量非 POST 请求,触发认证锁止机制,导致合法用户无法正常访问。
潜在危害:造成拒绝服务(DoS),合法用户无法正常使用 OpenClaw 的功能,影响业务运行。
修复建议:升级至 OpenClaw 2026.3.7 及以上版本。
03
安全加固建议
OpenClaw 的漏洞修复版本主要分为2026.1.29、2026.2.01、2026.3.8-beta.1三个核心版本,分别对应不同的漏洞修复范围,部署方可根据当前版本选择对应的升级路径,升级过程中需注意数据备份和兼容性验证。
☞升级路径划分
当前版本 < 2026.1.29:优先升级至2026.1.29,修复 3 个 具有 CVE 编号的高危漏洞(含 1 个在野利用漏洞),这是最紧急的升级步骤,升级后可防御远程代码执行、命令注入等核心攻击;若为 npm 版本,可继续升级至 2026.3.8-beta.1,修复目前 GitHub 披露的所有中高危漏洞。
2026.1.29 <= 当前版本 < 2026.2.01:升级至2026.2.01,修复本地主机信任绕过漏洞(CVE-2026-25475),该版本为 2026.1.29 的小幅安全补丁,兼容性无影响。
2026.2.01 <= 当前版本 < 2026.3.8-beta.1:升级至2026.3.8-beta.1,修复 GitHub 在当前披露的所有漏洞,包括信息泄露、权限越权、沙箱绕过等,该版本新增了本地备份、SSRF 防护等安全功能。
04
核心洞见
本次分析的 OpenClaw 14 个核心漏洞,覆盖认证、权限、沙箱、网络、插件五大核心模块,其根源主要在于项目快速迭代过程中,安全开发流程未及时跟进,导致权限管控逻辑缺陷、防护机制不完善、参数校验不严格等问题集中暴露。其中 4 个已分配 CVE 编号的漏洞中,2 个已发现在野利用,且可直接实现远程代码执行,对低版本部署实例造成严重威胁;GitHub 披露的漏洞则主要影响最新版本之前的 npm 发行版,以中危为主,但可被攻击者利用实现权限提升和数据窃取。
从漏洞特点来看,OpenClaw 的分布式执行特性、多渠道交互设计、本地优先的运行机制放大了安全问题的影响:网关作为核心枢纽,其认证信息泄露可直接导致整个系统被控制;沙箱机制的不完善则让攻击者能突破隔离,直接访问主机资源;多渠道的交互方式则增加了钓鱼攻击、跨域攻击的可能性。
05
综合处置建议
☞紧急修复,分级处置:所有 OpenClaw 部署方需立即开展版本核查,对低于 2026.1.29 的实例进行紧急升级,这是防御在野利用漏洞的关键;对其他版本的实例,按照升级指南逐步升级至最新修复版本,做到高危漏洞优先修复、中危漏洞及时修复。
☞左移安全,强化配置:企业级部署方需将安全融入 OpenClaw 的全生命周期管理,在部署阶段就开启严格的访问控制、配置安全规则,避免网关公网暴露、权限过度开放等问题;个人用户需加强本地设备的安全防护,避免安装未审核的第三方插件,不随意点击陌生链接。
☞关注官方,实时监控:持续关注 OpenClaw 官方的安全公告和漏洞披露信息,及时修复新发现的安全漏洞;建立常态化的漏洞扫描和日志监控机制,实现攻击行为的早发现、早预警、早处置。
☞社区协同,完善生态:OpenClaw 作为开源项目,其安全生态的完善需要社区的共同参与,建议开发者在贡献代码时加入安全检测环节,官方需加强第三方插件的安全审核,推出安全开发规范,从源头减少漏洞的产生。
06
结语
OpenClaw 作为颠覆式的 AI 智能体框架,其创新的技术架构和使用体验为开发者带来了全新的可能,但安全是技术落地的前提。本次集中暴露的漏洞为所有开源项目敲响了警钟:在快速迭代和功能创新的同时,必须重视安全开发和防护机制的建设。对于 OpenClaw 的部署方而言,当前最核心的工作是立即修复已披露的高危漏洞,通过严格的配置安全和访问控制降低攻击风险;对于项目官方和社区而言,需以此次漏洞事件为契机,完善安全开发流程,强化防护机制,让 OpenClaw 在安全的基础上实现更大的发展。
网络安全无小事,尤其是具备系统级操作能力的 AI 智能体框架,其安全问题直接关系到设备和数据的核心安全。希望本次漏洞分析能为 OpenClaw 的部署方提供有价值的参考,共同筑牢网络安全防线。
参考
https://github.com/openclaw/openclaw/security
https://openclawga-hiaxppxg.manus.space/cve
https://mp.weixin.qq.com/s/mRWlFkiq9gaqX1oVuu9Ceg
https://socket.dev/blog/openclaw-advisory-surge-highlights-gaps-between-ghsa-and-cve-tracking
声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
