功夫:2026-03-11
近期,,,,,,,,OpenClaw 作为热点的 AI 智能体平台,,,,,,,,援手无数开发者和企业提升了工作效能。。。。。然而,,,,,,,,随着职能的急剧迭代,,,,,,,,一些安全风险也逐步浮出水面。。。。。国度信息安全缝隙数据库(NVDB)已收录其多款高危缝隙;;;;;;;;GitHub Advisory Database 更是在 2026 年 3 月集中披露了数十个 OpenClaw 有关安全缝隙,,,,,,,,涵盖认证绕过、号令注入、信息泄露、权限越权等多个维度,,,,,,,,若公网露出的事俘未实时建复,,,,,,,,攻击者可直接实现未授权远程代码执行,,,,,,,,对企业和幼我数据安全、系统运行造成严沉威胁。。。。。
当前 OpenClaw 的缝隙分析显示,,,,,,,,其安全问题重要集中在权限管控逻辑缺点、沙箱机造绕过、网络防护不美满、认证校验不严谨四风雅面,,,,,,,,且无数缝隙因框架的散布式执行个性和多渠路交互设计被放大,,,,,,,,低版本事俘受影响尤为严沉。。。。。本文将对 OpenClaw 近期披露的主题缝隙进行技术分析,,,,,,,,给出针对性的加固建议和版本升级指南,,,,,,,,为有关部署方提供安全参考。。。。。


01
高危缝隙警示
本次梳理的 OpenClaw 高危缝隙共 5 个(占有 CVE 编号缝隙 2 个),,,,,,,,均为可直接利用的高风险缝隙,,,,,,,,其中 1个已发此刻野利用,,,,,,,,覆盖认证令牌泄露、号令注入、跨域敏感信息转发、网关认证信息泄露等类型,,,,,,,,CVSS 评分最高达 8.8 分。。。。。
1. OpenClaw 跨域沉定向缝隙(GHSA-6mgf-v5j7-45cr)
风险等级:高危
CVE 编号:待分配
CVSS 评分:7.5
缝霞述:OpenClaw 的 fetch-guard 组件存在逻辑缺点,,,,,,,,在跨域沉定向过程中,,,,,,,,会将自界说的授权要求头直接转发至沉定向指标地址,,,,,,,,导致授权凭证泄露至非可信域名。。。。。
影响版本:<= 2026.3.2
建复版本:>= 2026.3.7
攻击场景:攻击者机关恶意跨域沉定向链接,,,,,,,,诱导 OpenClaw 合法用户接见,,,,,,,,fetch-guard 在沉定向时将用户的授权头转发至攻击者节造的服务器,,,,,,,,获取授权凭证。。。。。
潜在风险:攻击者利用泄露的授权凭证实现未授权 API 挪用,,,,,,,,执行文件操作、系统号令等行为,,,,,,,,窃取用户数据或节造 AI 代理。。。。。
建复建议:升级至 OpenClaw 2026.3.7 及以上版本,,,,,,,,该版本已加强浏览器端 SSRF 防护,,,,,,,,拦截私有网络的中央沉定向跳跃;;;;;;;;在 fetch-guard 组件中增长跨域沉定向授权头过滤规定,,,,,,,,仅允许向可信域名转发授权信息。。。。。
2. OpenClaw 信息泄露缝隙(GHSA-rchv-x836-w7xp)
风险等级:高危
CVE 编号:待分配
CVSS 评分:7.1
缝霞述:OpenClaw 的治理仪表盘存在信息泄露缺点,,,,,,,,网关认证有关的敏感资料会通过浏览器 URL 查问参数和 localStorage 本地存储进行传输和保留,,,,,,,,未做加密和脱敏处置。。。。。
影响版本:<= 2026.3.2
建复版本:>= 2026.3.7
攻击场景:攻击者通过物理接触、浏览器缝隙或跨站剧本攻击(XSS),,,,,,,,获取指标设备浏览器的 URL 汗青或 localStorage 数据,,,,,,,,提取网关认证资料;;;;;;;;若为共享设备,,,,,,,,可直接查看浏览器纪录获取认证信息。。。。。
潜在风险:攻击者获取网关认证资料后,,,,,,,,可直接管受 OpenClaw 网关,,,,,,,,节造整个 AI 代理系统,,,,,,,,执行肆意系统级工作,,,,,,,,窃取本地所罕见据。。。。。
建复建议:升级至 OpenClaw 2026.3.7 及以上版本,,,,,,,,移除认证信息在 URL 查问参数中的传输方式,,,,,,,,对 localStorage 中存储的认证资料进行高强度加密;;;;;;;;增长认证信息的过期机造,,,,,,,,短功夫无操作自动断底子地存储的认证数据。。。。。
3. OpenClaw 远程代码执行缝隙(CVE-2026-25253)
风险等级:高危
CVE 编号:CVE-2026-25253
CVSS 评分:8.8
缝霞述:OpenClaw Control UI 存在参数处置缺点,,,,,,,,接受查问字符串中的 gatewayUrl 参数,,,,,,,,且在自动成立 WebSocket 衔接时,,,,,,,,会将认证令牌直接传输至该参数指定的地址,,,,,,,,未做域名校验。。。。。
影响版本:< 2026.1.29
建复版本:>= 2026.1.29
攻击场景:已在野利用,,,,,,,,攻击者机关蕴含恶意 gatewayUrl 参数的垂钓链接,,,,,,,,诱导 OpenClaw 用户接见,,,,,,,,Control UI 将认证令牌传输至攻击者节造的 WebSocket 服务器,,,,,,,,攻击者利用令牌收受代理。。。。。
潜在风险:直接实现未授权远程代码执行,,,,,,,,以 OpenClaw 运行权限在宿主机执行肆意号令,,,,,,,,窃取本地数据、节造设备操作,,,,,,,,甚至横向渗入至内网其他设备。。。。。
建复建议:立即升级至 2026.1.29 及以上版本,,,,,,,,增长 gatewayUrl 参数的可信域名白名单校验,,,,,,,,仅允许衔接至本地或预配置的可信网关地址;;;;;;;;对 WebSocket 传输的认证令牌进行端到端加密,,,,,,,,预防中途被窃取。。。。。
4. OpenClaw 号令注入缝隙(CVE-2026-25157)
风险等级:高危
CVE 编号:CVE-2026-25157
CVSS 评分:8.1
缝霞述:OpenClaw 的特定 API 端点存在参数解析缺点,,,,,,,,未对传入的参数进行严格的过滤和校验,,,,,,,,攻击者可通过该端点注入肆意系统号令。。。。。
影响版本:< 2026.1.29
建复版本:>= 2026.1.29
攻击场景:攻击者直接向存在缝隙的 API 端点发送蕴含恶意号令的要求,,,,,,,,参数被直接解析执行,,,,,,,,无需额表的身份校验。。。。。
潜在风险:以 OpenClaw 运行权限在宿主机执行肆意系统号令,,,,,,,,实现文件读取、写入、删除,,,,,,,,甚至节造设备操作,,,,,,,,若为服务器部署,,,,,,,,可获取服务器权限。。。。。
建复建议:立即升级至 2026.1.29 及以上版本,,,,,,,,对所有 API 端点的传入参数进行严格的过滤和转义,,,,,,,,不容蕴含系统号令的特殊字符;;;;;;;;增长 API 端点的接见白名单,,,,,,,,仅允许可信 IP 和用户接见。。。。。
5. OpenClaw 号令注入缝隙(CVE-2026-24763)
风险等级:高危
CVE 编号:CVE-2026-24763
CVSS 评分:7.8
缝霞述:OpenClaw 的插件执行接口存在沙箱机造绕过缺点,,,,,,,,恶意插件可突破沙箱限度,,,,,,,,直接向接口注入肆意系统号令,,,,,,,,且号令可被直接执杏祝。。。。
影响版本:< 2026.1.29
建复版本:>= 2026.1.29
攻击场景:攻击者开发蕴含恶意号令注入代码的插件,,,,,,,,诱导用户装置,,,,,,,,插件通过执行接口突破沙箱限度,,,,,,,,执行恶意系统号令。。。。。
潜在风险:绕过沙箱隔离,,,,,,,,执行肆意系统号令,,,,,,,,窃取本地数据、批改系统配置,,,,,,,,甚至植入恶意法式,,,,,,,,对设备造成永远性粉碎。。。。。
建复建议:立即升级至 2026.1.29 及以上版本,,,,,,,,加强插件执行接口的沙箱防护机造,,,,,,,,不容插件直接挪用系统号令;;;;;;;;对第三方插件进行严格的安全审核,,,,,,,,增长插件代码的静态扫描和动态检测。。。。。
02
中危缝隙汇总
GitHub 在 2026 年 3 月 9 日最新披露的缝隙中,,,,,,,,有 8 个均为中危缝隙,,,,,,,,重要集中在 system.run 组件权限管控缺点、ACP 会话初始化逻辑问题、认证锁止规定疏漏等方面,,,,,,,,影响 OpenClaw 最新版本之前的 npm 刊行版,,,,,,,,建复版本均为 2026.3.7。。。。。同时在 2026 年 2 月 4 日披露的缝隙中,,,,,,,,中危缝隙(CVE-2026-25475)已发此刻野利用,,,,,,,,必要沉点关注。。。。。 9 个中危缝隙的主题信息梳理:
1. OpenClaw 本地主机信赖绕过缝隙(CVE-2026-25475)
风险等级:中危(高危利用风险)
CVE 编号:CVE-2026-25475
CVSS 评分:6.5
缝霞述:OpenClaw 存在认证逻辑缺点,,,,,,,,谬误地将所有来自localhost的衔接视为可信起源,,,,,,,,未做额表的身份校验,,,,,,,,存在信赖天堑绕过问题。。。。。
影响版本:<= 2026.1.30
建复版本:>= 2026.2.01
攻击场景:已在野利用,,,,,,,,攻击者节造指标设备上的恶意网站,,,,,,,,通过 JavaScript 在本地提议 WebSocket 衔接,,,,,,,,利用localhost的可信属性绕过 OpenClaw 的认证机造,,,,,,,,实现未授权接见。。。。。
潜在风险:绕过认证后执行未授权操作,,,,,,,,蕴含文件读取、系统号令挪用等,,,,,,,,若为服务器端部署,,,,,,,,可进一步利用该缝隙获取服务器权限。。。。。
建复建议:立即升级至 2026.2.01 及以上版本,,,,,,,,取缔对localhost衔接的无前提信赖,,,,,,,,为本地衔接增长额表的身份校验机造;;;;;;;;限度浏览器端 JavaScript 对 OpenClaw 本地网关的挪用权限。。。。。
2. 沙箱 ACP 要求初始化主机遇话(GHSA-9q36-67vc-rrwg)
风险等级:中危
CVE 编号:待分配
CVSS 评分:5.9
缝霞述:沙箱环境下的 /acp 天生要求可绕过沙箱限度,,,,,,,,直接初始化主机端的 ACP 会话,,,,,,,,突破沙箱隔离天堑。。。。。
影响版本:<= 2026.3.2
建复版本:>= 2026.3.7
攻击场景:攻击者在沙箱中机关恶意 /acp 天生要求,,,,,,,,触发主机 ACP 会话初始化,,,,,,,,获取主机端的 ACP 操作权限。。。。。
潜在风险:突破沙箱隔离,,,,,,,,在主机端执行 ACP 有关操作,,,,,,,,实现权限提升,,,,,,,,进一步挪用系统资源。。。。。
建复建议:升级至 OpenClaw 2026.3.7 及以上版本。。。。。
3. system.run 悠久化蕴含 shell 注解载荷尾(GHSA-9q2p-vc84-2rwm)
风险等级:中危
CVE 编号:待分配
CVSS 评分:5.0
缝霞述:system.run 的 allow-always 悠久化机造存在解析缺点,,,,,,,,会将蕴含 shell 注解的载荷尾保留并执行,,,,,,,,绕过号令校验。。。。。
影响版本:<= 2026.3.2
建复版本:>= 2026.3.7
攻击场景:攻击者机关蕴含 shell 注解的恶意号令,,,,,,,,利用 allow-always 机造实现号令悠久化,,,,,,,,注解部门被解析执杏祝。。。。
潜在风险:绕过 system.run 的号令校验,,,,,,,,执行未授权的 shell 号令,,,,,,,,实现文件操作或系统节造。。。。。
建复建议:升级至 OpenClaw 2026.3.7 及以上版本。。。。。
4. operator.write 越权写入治理员配置(GHSA-hfpr-jhpq-x4rm)
风险等级:中危
CVE 编号:待分配
CVSS 评分:4.3
缝霞述:operator.write的 chat.send 接口存在权限管控缺点,,,,,,,,通常用户可通过该接口向治理员专属配置项写入数据,,,,,,,,实现权限越权。。。。。
影响版本:<= 2026.3.2
建复版本:>= 2026.3.7
攻击场景:通常用户机关特殊的 chat.send 要求,,,,,,,,指定治理员专属配置键值,,,,,,,,实现越权配置批改。。。。。
潜在风险:篡改治理员配置,,,,,,,,蕴含权限规定、白名单、沙箱限度等,,,,,,,,进一步实现未授权操作。。。。。
建复建议:升级至 OpenClaw 2026.3.7 及以上版本。。。。。
5. system.run 包装深度天堑绕过 shell 审批(GHSA-r6qf-8968-wj9q)
风险等级:中危
CVE 编号:待分配
CVSS 评分:5.0
缝霞述:system.run 的 wrapper-depth 天堑校验存在逻辑疏漏,,,,,,,,当包装深度超过阈值时,,,,,,,,会直接跳过 shell 号令的审批门控。。。。。
影响版本:<= 2026.3.2
建复版本:>= 2026.3.7
攻击场景:攻击者机关多层嵌套的包装号令,,,,,,,,突破 wrapper-depth 阈值,,,,,,,,绕过 shell 审批执行恶意号令。。。。。
潜在风险:绕过系统的号令审批机造,,,,,,,,执行未授权 shell 号令,,,,,,,,窃取数据或节造系统。。。。。
建复建议:升级至 OpenClaw 2026.3.7 及以上版本。。。。。
6. 跨账户发送者授权扩大(GHSA-pjvx-rx66-r3fg)
风险等级:中危
CVE 编号:待分配
CVSS 评分:5.4
缝霞述:/allowlist 的 --store 参数在账户领域划分时存在缺点,,,,,,,,可实现跨账户的发送者授权扩大,,,,,,,,突破账户隔离。。。。。
影响版本:<= 2026.3.2
建复版本:>= 2026.3.7
攻击场景:攻击者利用 --store 参数的逻辑缺点,,,,,,,,将自身的发送者权限扩大至其他账户,,,,,,,,获取跨账户的操作权限。。。。。
潜在风险:突破账户隔离天堑,,,,,,,,接见其他账户的资源、执行跨账户操作,,,,,,,,窃取多账户数据。。。。。
建复建议:升级至 OpenClaw 2026.3.7 及以上版本。。。。。
7. system.run 白名单漏检 PowerShell 编码号令(GHSA-3h2q-j2v4-6w5r)
风险等级:中危
CVE 编号:待分配
CVSS 评分:5.0
缝霞述:system.run 的白名单审批解析机造未对 PowerShell 的编码号令包装进行校验,,,,,,,,漏检恶意编码号令。。。。。
影响版本:<= 2026.3.2
建复版本:>= 2026.3.7
攻击场景:攻击者将恶意号令进行 PowerShell 编码包装,,,,,,,,绕过白名单审批,,,,,,,,执行未授权操作。。。。。
潜在风险:绕过号令白名单,,,,,,,,执行 PowerShell 恶意编码号令,,,,,,,,实现系统节造和数据窃取。。。。。
建复建议:升级至 OpenClaw 2026.3.7 及以上版本。。。。。
8. system.run 环境覆盖过滤允许危险号令支点(GHSA-j425-whc4-4jgc)
风险等级:中危
CVE 编号:待分配
CVSS 评分:6.3
缝霞述:system.run 的环境变量覆盖过滤机造存在缺点,,,,,,,,允许攻击者机关危险的辅助号令支点,,,,,,,,实现号令注入。。。。。
影响版本:<= 2026.3.2
建复版本:>= 2026.3.7
攻击场景:攻击者通过环境变量覆盖,,,,,,,,机关辅助号令支点,,,,,,,,进一步注入恶意系统号令。。。。。
潜在风险:实现号令注入,,,,,,,,以 OpenClaw 权限执行肆意系统号令,,,,,,,,粉碎系统环境或窃取数据。。。。。
建复建议:升级至 OpenClaw 2026.3.7 及以上版本。。。。。
9. 钩子将非 POST 要求计入认证锁止(GHSA-6rmx-gvvg-vh6j)
风险等级:中危
CVE 编号:待分配
CVSS 评分:5.3
缝霞述:OpenClaw 的钩子组件存在规定疏漏,,,,,,,,将非 POST 要求也计入认证失败次数,,,,,,,,触发不用要的认证锁止。。。。。
影响版本:<= 2026.3.2
建复版本:>= 2026.3.7
攻击场景:攻击者发送大量非 POST 要求,,,,,,,,触发认证锁止机造,,,,,,,,导致合法用户无法正常接见。。。。。
潜在风险:造成回绝服务(DoS),,,,,,,,合法用户无法正常使用 OpenClaw 的职能,,,,,,,,影响业务运杏祝。。。。
建复建议:升级至 OpenClaw 2026.3.7 及以上版本。。。。。
03
安全加固建议
OpenClaw 的缝隙建复版本重要分为2026.1.29、2026.2.01、2026.3.8-beta.1三个主题版本,,,,,,,,别离对应分歧的缝隙建复领域,,,,,,,,部署方可凭据当前版本选择对应的升级蹊径,,,,,,,,升级过程中需把稳数据备份和兼容性验证。。。。。
?升级蹊径划分
当前版本 < 2026.1.29:优先升级至2026.1.29,,,,,,,,建复 3 个 拥有 CVE 编号的高危缝隙(含 1 个在野利用缝隙),,,,,,,,这是最垂危的升级步骤,,,,,,,,升级后可防御远程代码执杏注号令注入等主题攻击;;;;;;;;若为 npm 版本,,,,,,,,可持续升级至 2026.3.8-beta.1,,,,,,,,建复目前 GitHub 披露的所有中高危缝隙。。。。。
2026.1.29 <= 当前版本 < 2026.2.01:升级至2026.2.01,,,,,,,,建复本地主机信赖绕过缝隙(CVE-2026-25475),,,,,,,,该版本为 2026.1.29 的幼幅安全补丁,,,,,,,,兼容性无影响。。。。。
2026.2.01 <= 当前版本 < 2026.3.8-beta.1:升级至2026.3.8-beta.1,,,,,,,,建复 GitHub 在当前披露的所有缝隙,,,,,,,,蕴含信息泄露、权限越权、沙箱绕过等,,,,,,,,该版本新增了本地备份、SSRF 防护等安全职能。。。。。
04
主题洞见
本次分析的 OpenClaw 14 个主题缝隙,,,,,,,,覆盖认证、权限、沙箱、网络、插件五大主题?????,,,,,,,,其本原重要在于项目急剧迭代过程中,,,,,,,,安全开发流程未实时跟进,,,,,,,,导致权限管控逻辑缺点、防护机造不美满、参数校验不严格等问题集中露出。。。。。其中 4 个已分配 CVE 编号的缝隙中,,,,,,,,2 个已发此刻野利用,,,,,,,,且可直接实现远程代码执行,,,,,,,,对低版本部署事俘造成严沉威胁;;;;;;;;GitHub 披露的缝隙则重要影响最新版本之前的 npm 刊行版,,,,,,,,以中危为主,,,,,,,,但可被攻击者利用实现权限提升和数据窃取。。。。。
从缝隙特点来看,,,,,,,,OpenClaw 的散布式执行个性、多渠路交互设计、本地优先的运行机造放大了安全问题的影响:网关作为主题枢纽,,,,,,,,其认证信息泄露可直接导致整个系统被节造;;;;;;;;沙箱机造的不美满则让攻击者能突破隔离,,,,,,,,直接接见主机资源;;;;;;;;多渠路的交互方式则增长了垂钓攻击、跨域攻击的可能性。。。。。
05
综合措置建议
?垂危建复,,,,,,,,分级措置:所有 OpenClaw 部署方需立即发展版本核查,,,,,,,,对低于 2026.1.29 的事俘进行垂危升级,,,,,,,,这是防御在野利用缝隙的关键;;;;;;;;对其他版本的事俘,,,,,,,,依照升级指南逐步升级至最新建复版本,,,,,,,,做到高危缝隙优先建复、中危缝隙实时建复。。。。。
?左移安全,,,,,,,,强化配置:企业级部署方需将安全融入 OpenClaw 的全性命周期治理,,,,,,,,在部署阶段就开启严格的接见节造、配置安全规定,,,,,,,,预防网关公网露出、权限过度盛开等问题;;;;;;;;幼我用户需加强本地设备的安全防护,,,,,,,,预防装置未审核的第三方插件,,,,,,,,不轻易点击陌生链接。。。。。
?关注官方,,,,,,,,实时监控:持续关注 OpenClaw 官方的安全布告和缝隙披露信息,,,,,,,,实时建复新发现的安全缝隙;;;;;;;;成立常态化的缝隙扫描和日志监控机造,,,,,,,,实现攻击行为的早发现、早预警、早措置。。。。。
?社区协同,,,,,,,,美满生态:OpenClaw 作为开源项目,,,,,,,,其安全生态的美满必要社区的共同参加,,,,,,,,建议开发者在贡献代码时参与安全检测环节,,,,,,,,官方需加强第三方插件的安全审核,,,,,,,,推出安全开发规范,,,,,,,,从源头削减缝隙的产生。。。。。
06
结语
OpenClaw 作为颠覆式的 AI 智能体框架,,,,,,,,其创新的技术架构和使用履历为开发者带来了全新的可能,,,,,,,,但安满是技术落地的前提。。。。。本次集中露出的缝隙为所有开源项目敲响了警钟:在急剧迭代和职能创新的同时,,,,,,,,必须器沉安全开发和防护机造的建设。。。。。对于 OpenClaw 的部署方而言,,,,,,,,当前最主题的工作是立即建复已披露的高危缝隙,,,,,,,,通过严格的配置安全和接见节造降低攻击风险;;;;;;;;对于项目官方和社区而言,,,,,,,,需以这次缝隙事务为契机,,,,,,,,美满安全开发流程,,,,,,,,强化防护机造,,,,,,,,让 OpenClaw 在安全的基础上实现更大的发展。。。。。
网络安全无幼事,,,,,,,,尤其是具备系统级操作能力的 AI 智能体框架,,,,,,,,其安全问题直接关系到设备和数据的主题安全。。。。。但愿本次缝隙分析能为 OpenClaw 的部署方提供有价值的参考,,,,,,,,共同筑牢网络安全防线。。。。。
参考
https://github.com/openclaw/openclaw/security
https://openclawga-hiaxppxg.manus.space/cve
https://mp.weixin.qq.com/s/mRWlFkiq9gaqX1oVuu9Ceg
https://socket.dev/blog/openclaw-advisory-surge-highlights-gaps-between-ghsa-and-cve-tracking