【漏洞预警】OpenClaw沙箱绕过权限提升漏洞 (CVE-2026-41329)

点击上方蓝字关注我们

01

OpenClaw是一款面向自动化任务执行与智能代理调度的开源平台，支持通过命令驱动方式管理任务执行、系统配置及调试流程。系统具备插件扩展能力、权限控制机制及多角色协作能力，广泛应用于自动化运维、AI Agent调度及复杂工作流编排等场景。

【风险等级】高 危

【CVE编号】CVE-2026-41329

  2026年4月21日，禾盾安全应急响应中心（HDSRC）监测到该漏洞，经分析，该漏洞源于系统在处理heartbeat上下文继承机制时，对执行上下文及权限边界校验不充分，且senderIsOwner参数可被操控，导致攻击者能够伪造或继承高权限上下文，绕过既有sandbox限制。成功利用后，攻击者可在未获授权的情况下提升执行权限，突破安全隔离边界，进而访问受限功能、执行高危操作或影响系统完整性。建议受影响的用户尽快修复，与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

OpenClaw <= 2026.3.31

03

  目前官方暂已发布修复版本，建议更新系统补丁，限制网络访问，实施输入验证和异常检测等。

注：其它建议

1.紧急升级修补：立即将 OpenClaw 组件升级至 2026.3.31 之后 的最新稳定版本，确保已包含针对 senderIsOwner 参数校验及心跳上下文继承逻辑的修复补丁。

    2.加强输入验证：如果暂时无法升级，必须实施临时缓解措施。在应用层对所有涉及 senderIsOwner 的参数进行严格的白名单校验和签名验证，禁止直接信任来自外部的上下文继承声明。

    3.最小权限原则：检查运行 OpenClaw 服务的账户权限，确保即使发生沙箱逃逸，服务进程也不具备过高系统权限（如 root 权限），以限制潜在损害范围。

‍‍‍‍‍‍‍  下载链接：

https://github.com/openclaw/openclaw/releases/

04

https://github.com/openclaw/openclaw/commit/a30214a624946fc5c85c9558a27c1580172374fdhttps://github.com/openclaw/openclaw/security/advisories/GHSA-g5cg-8x5w-7jpmhttps://www.vulncheck.com/advisories/openclaw-sandbox-bypass-via-heartbeat-context-inheritance-and-senderisowner-escalation

05

HD

HD