关键OpenClaw漏洞允许持久访问和凭证滥用

Cyera 研究人员发现一条新的漏洞链，统称为“爪链”，可以将 OpenClaw 中的多个漏洞结合起来，以破坏系统、获得未经授权的数据访问权限。

火遍全球的小龙虾AI智能体OpenClaw 已被企业迅速采用。然而，由于动态执行的内容、外部技能集成和基于云的身份验证机制融合在一起，却缺乏足够的防御控制机制，给企业带来新的安全风险。

OpenClaw平台不同于采用固定执行逻辑构建的传统应用程序，它能够接受不受信任的输入，检索并执行第三方代码模块，并使用分配的凭据与连接的环境进行交互，从而有效地将信任边界扩展到应用层之外。安全研究人员指出，这种架构灵活性以及最近披露的ClawJacked攻击技术暴露了基于浏览器的云开发环境中身份验证处理和令牌保护方面的关键漏洞。

已有证据表明，恶意网络内容可以利用活跃的开发者会话来窃取敏感的访问令牌，从而使攻击者能够未经授权访问源代码库、云基础设施和特权企业资源。越来越多的组织正在将云原生开发平台集成到其工程工作流程中。此次披露凸显了与自主人工智能运行时环境相关的权限范围、身份隔离和其他安全问题。

Cyera 研究人员发现了一条协调的漏洞链，统称为“爪链”，它展示了如何将 OpenClaw 中的多个漏洞结合起来，以破坏系统、获得未经授权的数据访问权限，并在受影响的系统中提升权限。

具体来说，有两个漏洞被分配了 CVE-2026-44113 和 CVE-2026-2026-44112，它们在 OpenShell 管理的沙箱后端中包含检查时间/使用时间 (TOCTOU) 竞争条件，这可能允许攻击者绕过沙箱强制执行并与挂载根目录之外的文件进行交互。

第一个漏洞允许任意写入操作，可能导致配置更改、后门安装和对受感染主机的长期控制。

第二个漏洞提供了一条通过未经授权的文件泄露缺陷来获取系统工件、凭据和敏感内部数据。

第三个漏洞 CVE-2026-44115，这是一个由于不完整的拒绝列表实现而导致的漏洞，它允许攻击者在 heredoc 有效载荷中隐藏 shell 扩展令牌并执行绕过运行时限制的命令。

第四个漏洞 CVE-2026-44118 引入了一种不当的访问控制机制，非所有者的环回客户端可以冒充特权用户来操纵网关配置、更改计划的 cron 操作，并通过未经授权使用特权帐户来获得对执行环境的更大控制权。

这些缺陷共同表明，现代 AI 代理基础设施中可能存在隔离不足、权限边界薄弱以及运行时验证机制不完善等问题，从而导致完整的攻击链，即使存在看似孤立的弱点，也能维持隐蔽且持续的访问。

OpenClaw 的快速普及和宽松的架构促使其从一个小众自动化框架迅速转变为广泛部署的 AI 驱动的编排环境，进一步加剧了其安全隐患。

2025 年末，奥地利工程师 Peter Steinberger 发布了该项目的公开版本，并因其独特的定制化自动化功能而广受欢迎，该功能无需依赖严格控制的商业生态系统。OpenClaw 助手不依赖于供应商定义的集成，而是允许用户开发、修改和分发可执行的“技能”。

最终形成了一个庞大的存储库，其中包含社区开发的数千个自动化场景，但这些场景缺乏集中管理、分类和安全性验证。

由于其“可自破解”的设计——配置、内存存储和可执行逻辑均使用可由用户修改的本地 Markdown 结构进行维护——它既吸引了开发者的关注，也引起了安全研究人员日益增长的关注，他们担心缺乏强化的信任边界。

经查，数百个 OpenClaw 管理界面可通过互联网访问，且无需身份验证。这些问题迅速升级。调查显示，配置不当的反向代理可能通过本地主机信任通道转发外部流量，导致平台错误地将远程请求视为特权本地连接。

安全研究员 Jamieson O’Reilly 通过获取 Anthropic API 的凭证、Telegram 机器人令牌、Slack 环境和存档对话等敏感资产的访问权限，证明了该问题的严重性。

进一步的研究表明，可以通过在底层大型语言模型处理的电子邮件、文件或网页内容中嵌入恶意指令，利用提示注入攻击来操纵代理执行非预期行为。

Matvey Kukuy 曾演示过这样一种场景：他精心构造电子邮件，诱使机器人程序在收到查看收件箱内容的指令后，提供来自宿主机环境的私钥。多项独立实验表明，该系统会泄露机密电子邮件数据，通过自动化 shell 命令暴露用户主目录的内容，并在收到心理操纵提示后自动搜索本地存储。

总的来说，这些事件表明了业界的一个担忧，即具有广泛文件系统可见性、持久内存和委派执行权限的自主人工智能代理，如果部署方式不遵守严格的身份验证控制、运行时隔离和上下文验证控制，则可能极易受到间接命令操纵。

尽管目前尚无公开证实与任何已知的持续性高级威胁组织有关联，表明 OpenClaw 漏洞的利用与该组织有关，但安全分析师指出，该攻击的操作特征与凭证窃取、浏览器劫持和中间人入侵活动中常用的攻击手法一致。

MITRE ATT&CK框架中的一些技术，包括与浏览器会话劫持相关的T1185以及与中间人攻击相关的T1557，已被认定为并行技术。

这两种技术经常被用于针对企业身份验证系统和云环境的定向攻击。由于公开可用的概念验证漏洞利用方法以及利用这些漏洞所需的相对较低的复杂性，人们越来越担心，以经济利益为目的的威胁行为者和与国家相关的攻击者可能会将这些技术整合到更广泛的入侵工具集中。

经发现，OpenClaw 和 Clawdbot 2026.2.2 版本之前的所有版本，包括 2026.2.1 版本之前的所有构建版本，都存在此漏洞。研究人员指出，在更新后的版本中，未经授权的 WebSocket 交互受到限制，并且对暴露的 /cdp 接口强制执行身份验证检查，而此前的版本允许对本地信任做出不安全的假设。

在部署紧急补丁期间，建议安全团队监控可疑的本地主机 WebSocket 活动、未经授权的浏览器扩展程序行为，以及通过 ws://127.0.0.1:17892/cdp 或已知攻击者控制的基础架构进行出站通信的尝试。

当快速修补成为运营挑战时，专家建议暂时禁用 OpenClaw 浏览器扩展程序，对本地 WebSocket 服务强制执行主机级防火墙限制，并持续审查浏览器会话遥测和端点入侵指标，以确定是否存在未经授权的凭据持久化或凭据拦截。

OpenClaw 的漏洞链反映了快速扩张的人工智能代理生态系统中正在发生的整体安全危机。

在这个生态系统中，以便利性为导向的自动化发展速度超过了旨在遏制其扩张的防御措施的成熟速度。自主助手越来越倾向于访问开发者环境、身份验证令牌、本地存储、消息平台和云基础设施，从而削弱了可信执行和不可信输入之间的传统界限。

能够自我修改、委派命令执行和持久化上下文记忆的平台会带来重大的安全风险，这些风险与传统软件有着根本的不同，尤其是在部署时拥有过多的权限，并且在运行时隔离不足的情况下。

尽管 OpenClaw 的漏洞可以通过打补丁、限制访问和加强身份验证来缓解，但该事件凸显了业界普遍担忧的问题，即人工智能驱动的运营工具可能在不久的将来成为网络犯罪分子和高级入侵组织的高价值目标。

这些发现提醒我们，随着组织采用自主人工智能系统，安全架构、权限分段和持续监控绝不能再被忽视。

新闻链接：

https://www.cysecurity.news/2026/05/critical-openclaw-flaws-allow.html