紧急预警！OpenClaw 曝出多个高危 RCE 漏洞，你的”龙虾”可能已经被人接管

一个恶意网页，一次点击，你的机器就归别人了。

先说最重要的一件事

如果你在用 OpenClaw，请立刻检查你的版本号。

不是”有空再说”，是现在。

打开终端，输入：

openclaw --version

如果版本低于 2026.3.28，你目前面临的风险，比你想象的严重得多。

这不是危言耸听，是有 CVE 编号的真实漏洞

2026 年 2 月至 3 月，安全研究人员陆续公开了 OpenClaw 的多个高危漏洞，其中三个最严重的已经被广泛报道：

漏洞一：CVE-2026-25253（CVSS 8.8）——“一键 RCE”

这是最先被发现的，也是最直接、最凶的一个。

外号”ClawBleed”，由 DepthFirst 安全团队的研究员 Mav Levin 发现，并于 2026 年 2 月 3 日公开披露。

漏洞原理说人话：

OpenClaw 的控制界面（Control UI）会读取浏览器地址栏里的 gatewayUrl 参数，然后自动建立 WebSocket 连接——连接的时候，你的认证 Token 也一起带过去了。

问题在于，服务器从来不检查这个连接是从哪个网站发过来的。浏览器本来有跨域保护，但那只对普通 HTTP 请求有效，对 WebSocket 连接无效。

这意味着：只要你打开了一个恶意网页，同时 OpenClaw 的控制台也在同一个浏览器里开着，攻击者就能在毫秒级别内完成以下操作：

1. 1. 从你的 WebSocket 连接里偷走认证 Token
2. 2. 用这个 Token 直接连上你本地的 OpenClaw 实例（即使它跑在 localhost 上）
3. 3. 关掉所有操作确认提示
4. 4. 逃出 Docker 容器沙箱
5. 5. 在你的机器上执行任意命令

全程没有任何弹窗，没有任何提示，毫秒级完成。OpenClaw 的开发者 Peter Steinberger 在安全公告里亲自确认了这个攻击链。

受影响版本：2026.1.29 之前的所有版本

修复版本：2026.1.29（发布于 2026 年 1 月 30 日，漏洞公开前几天紧急上线）

漏洞二：CVE-2026-22172（CVSS 9.9）——无需凭据的管理员接管

CVSS 9.9，这是几乎满分的严重程度。

这个漏洞允许攻击者不需要任何有效凭据，直接获取 OpenClaw 网关的管理员权限。一旦拿到 admin 权限，后续的 RCE 就是顺理成章的事。

漏洞三：CVE-2026-32922（CVSS 9.9）——Token 权限逃逸

同样是 CVSS 9.9 的满级严重度，于 2026 年 3 月 29 日公开。

这个漏洞出在 OpenClaw 的 device.token.rotate 函数里。这个函数本来是用来管理 Token 轮换的，但它有一个逻辑缺陷：当一个拥有低权限 Token（operator.pairing 级别）的攻击者调用这个函数时，系统不会限制新生成的 Token 权限范围，导致攻击者可以凭空给自己铸造一个管理员级别的 Token。

有了管理员 Token，就可以调用 system.run 执行任意命令，实现完整的 RCE。

受影响版本：2026.3.11 之前的所有版本

规模有多大？数字让人不安

这不是几个边缘用户的问题。安全机构 ARMO 和 runZero 的调查数据显示：

• • 截至 2026 年 3 月，全球暴露在公网上的 OpenClaw 实例超过 13.5 万个，覆盖 82 个国家
• • 其中 63% 的实例完全没有启用任何认证——任何人连进来不需要密码
• • CVE-2026-25253 公开时，全球已有超过 4 万个实例处于可被直接利用的状态

更让人头疼的是 ClawHub（OpenClaw 的插件市场）问题。

安全研究人员发现，一个名为”ClawHavoc”的攻击活动在 ClawHub 上持续投放了 800 多个恶意 Skills（插件），这些插件伪装成 Gmail、Notion、Slack、GitHub 等常用工具的集成，实际上在后台部署的是 Atomic Stealer（AMOS）信息窃取木马。

Hudson Rock 还另外发现了专门针对 OpenClaw Agent 身份凭据的 Vidar 信息窃取变种。

从 2025 年 11 月 OpenClaw 上线，到 2026 年 4 月，短短 5 个月内已经被追踪到了 138 个 CVE，其中 7 个严重级别，49 个高危级别。安全机构 Bexxo 的报告用了一句话总结当前建议：“如果你在用 OpenClaw，默认假设你已经被入侵。”

微软也在 2026 年 2 月 19 日发出建议，不推荐在包含敏感数据的机器上部署 OpenClaw。

为什么 OpenClaw 特别危险？

普通软件有漏洞，损失可能是数据；OpenClaw 有漏洞，损失是你所有东西。

这是由它的设计决定的。

OpenClaw 作为 AI Agent 平台，默认就要求以下权限才能正常工作：

• • 读写本地文件系统
• • 执行终端命令
• • 访问你的消息平台（飞书、钉钉、Telegram 等）
• • 通过 MCP 接入你连接的所有第三方服务（GitHub、Notion、Google Drive……）
• • 如果你接了支付宝 MCP，还有你的支付凭据

OpenClaw 的 Agent 拥有和你几乎一样的系统权限。攻击者拿下 OpenClaw，拿下的不是一个应用，是你整个数字生活的控制权。

立刻做这 5 件事

安全研究人员给出的操作建议，按优先级排序：

第一步：立刻更新到最新版本

目前安全版本为 2026.3.28，包含所有已知漏洞的修复。

# 更新 OpenClawnpm update -g openclaw# 验证版本openclaw --version

第二步：立刻轮换所有 Token 和凭据

如果你在使用补丁版本之前，曾经在同一个浏览器里打开过 OpenClaw 控制台和任何不可信网站，认证 Token 有可能已经泄露。

在 OpenClaw 设置里重新生成 Gateway Token，并且轮换以下内容：

• • OpenClaw Gateway Token
• • 所有 MCP 连接的 API Key（GitHub Token、Notion Token 等）
• • 如果接了支付宝 MCP：立刻更换商户私钥

第三步：用独立浏览器 Profile 访问控制台

不要在同一个浏览器窗口里既打开 OpenClaw 控制台、又浏览普通网页。

Chrome/Edge 用户：创建一个专用的 Browser Profile 专门开控制台，日常上网用另一个。

第四步：审查 ClawHub 里安装的所有插件

2026 年 2 月之前从 ClawHub 安装的 Skills，需要逐一排查。重点怀疑对象：声称可以接入 Gmail、Slack、Notion、GitHub 等平台的第三方插件，但发布者不是这些平台的官方账号。

可疑的直接卸载，然后重新生成相关平台的 API Key。

第五步：检查实例是否暴露在公网

如果你把 OpenClaw 部署在云服务器或 VPS 上，检查 18789 端口是否对外开放：

# 查看端口监听情况ss -tlnp | grep 18789

如果有公网暴露，立刻在防火墙加入 IP 白名单限制，或者关掉公网访问。在启用认证之前，任何人都可以直接连进来。

另外确保启用了认证：进入 OpenClaw 设置，检查 auth.enabled 是否为 true。

最后说一句公道话

OpenClaw 的开发者在漏洞披露前几天就完成了第一个补丁，响应速度不慢。而且每一个漏洞都有详细的安全公告，修复方案也是清晰的。

但这件事真正值得反思的，是 AI Agent 这类工具天然的安全悖论：它必须拥有足够大的权限才能有用，而权限越大，一旦出问题就越危险。

OpenClaw 不是孤例。同类型的 AI Agent 工具都面临类似的问题。在这个生态还在快速扩张、安全实践还没有跟上的阶段，作为用户最能做的事情，就是：最小权限、及时更新、不信任任何来源不明的插件。

你的龙虾很有用。但也要关好笼子。

官方安全公告：

• • CVE-2026-25253：github.com/openclaw/openclaw/security/advisories
• • CVE-2026-32922：NVD 国家漏洞数据库
• • 完整 CVE 追踪：github.com/jgamblin/OpenClawCVEs

本文所有漏洞数据来自 The Hacker News（2026年2月3日）、SonicWall 威胁研究报告、ARMO Security、SOCRadar、多伦多大学信息安全公告，以及 Bexxo 安全研究（2026年4月），内容基于真实 CVE 公开披露，发布于 2026 年 4 月 25 日。