“Claw Chain”攻击链曝光：24.5万个AI Agent实例面临威胁，每一步都伪装成”正常行为”

---

一、事件速览：一条完整的攻击链

2026年5月，网络安全公司Cyera向全球披露了OpenClaw平台中四个可被串联利用的高危漏洞，并将其统称为“Claw Chain”（利爪链）。这组漏洞的组合攻击效果远超单个漏洞的叠加——攻击者可以从沙箱内的初始代码执行，一路升级到完全控制Agent运行环境，并植入持久化后门。

据Cyera评估，全球约有24.5万个公开可访问的OpenClaw服务器实例受到影响，金融、医疗等数据密集型行业风险最高。

漏洞编号	CVSS评分	漏洞类型	核心影响
CVE-2026-44112	9.6/6.3	TOCTOU竞态条件（写入）	沙箱写入逃逸，可植入后门
CVE-2026-44113	7.7/6.3	TOCTOU竞态条件（读取）	沙箱读取逃逸，窃取凭据
CVE-2026-44115	8.8	输入验证不完整	绕过允许列表执行未授权命令
CVE-2026-44118	7.8	访问控制不当	非所有者冒充所有者提升权限

---

二、OpenClaw是什么？为什么它成了”高价值目标”

OpenClaw是一款开源的AI Agent（智能体）编排平台，在GitHub上拥有超过34万颗星，被广泛用于自动化运维、AI Agent调度、复杂工作流编排等场景。

它的核心价值在于：让AI Agent能够自主执行代码、调用工具、管理基础设施。但这也意味着——

一旦Agent被攻破，攻击者就获得了”代理人的代理人”权限，可以冒充合法用户执行任意操作。

正如Cisco安全研究所指出的：个人AI Agent（如OpenClaw）创造了一个”安全噩梦”，因为它们集中了风险——攻破Agent就等于攻破它所管理的一切。

---

三、四大漏洞详解：从沙箱逃逸到持久化控制

🔴 CVE-2026-44112（CVSS 9.6）——沙箱写入逃逸

技术根因：OpenShell托管沙箱后端存在检查时间/使用时间（TOCTOU）竞态条件。沙箱在验证一个写操作的目标路径是否越界后，到实际执行写操作之间，攻击者可以修改目标路径，将数据写入沙箱边界之外。

攻击效果：攻击者可以篡改Agent配置文件、在宿主机上植入持久化后门、修改系统设置，建立对受感染主机的长期控制。

🔴 CVE-2026-44113（CVSS 7.7）——沙箱读取逃逸

与CVE-2026-44112类似的TOCTOU竞态条件，但作用在读取操作上。攻击者可以在路径验证后、文件读取前，将合法路径替换为指向系统文件的符号链接（symbolic link），从而读取Agent本不应访问的系统文件、凭据和内部构件。

🔴 CVE-2026-44115（CVSS 8.8）——Heredoc中的命令注入

OpenClaw有一个命令验证机制——在命令执行前检查它是否在白名单内。但验证结果和执行之间，通过heredoc（here document，一种shell多行文本传递语法）传递的环境变量在验证时”看起来安全”，实际执行时却被展开。

通俗理解：安检员检查你的包时，里面确实没有违禁品；但等你过了安检门，同一个人又从包里掏出了违禁品。问题出在检查和实际使用不是同一个时刻。

攻击者可以通过未加引号的heredoc，让验证通过的”安全命令”泄露API密钥、token和凭据等环境变量。

🔴 CVE-2026-44118（CVSS 7.8）——MCP回环权限提升

这是整个攻击链中最关键的”提权跳板”。OpenClaw信任一个名为senderIsOwner的客户端控制所有权标志，用于判断调用者是否有权使用所有者专属工具。但系统从未将这个标志与已认证的会话进行交叉验证。

攻击效果：拥有合法持有者令牌（bearer token）的本地进程，可以把自己提升为owner级别，获得对Agent网关配置、定时调度（cron）和执行环境的完全控制权。

OpenClaw在修复公告中明确说明：”MCP环回运行时现已分别颁发所有者与非所有者持有令牌，senderIsOwner将完全根据请求认证所使用的令牌类型来判定。系统不再生成或信任可伪造的sender-owner标头。”

---

四、攻击链全景：四步完成全面接管

这四个漏洞的可怕之处在于组合效果。从任意一个立足点出发，攻击者可以同时触发窃取和提权两条并行路径：

┌─────────────────────────────────────────────────────────────┐

│  立足点：恶意插件 / 提示词注入 / 污染的外部输入              │

│                    ↓                                        │

│  ┌─────────────────┐    ┌─────────────────┐               │

│  │   窃取路径      │    │   提权路径      │               │

│  │ CVE-2026-44113  │    │ CVE-2026-44118  │               │

│  │ → 读取系统文件  │    │ → 升级为owner   │               │

│  │ CVE-2026-44115  │    │                 │               │

│  │ → 泄露环境变量  │    │                 │               │

│  └────────┬────────┘    └────────┬────────┘               │

│           ↓                      ↓                        │

│  ┌─────────────────────────────────────────┐             │

│  │   持久化路径：CVE-2026-44112            │             │

│  │   → 植入后门，修改未来Agent行为         │             │

│  └─────────────────────────────────────────┘             │

└─────────────────────────────────────────────────────────────┘

Cyera的研究人员强调：”攻击者通过武器化Agent自身权限，逐步实现数据访问、权限提升和持久化控制——将Agent变成其在环境内的操作工具。每个步骤在传统控制措施看来都像是正常Agent行为，这扩大了爆炸半径，使检测难度大幅增加。”

---

五、为什么传统安全工具”看不见”这种攻击？

这是”Claw Chain”最危险的地方。与传统漏洞利用不同，这组攻击链的每一步都伪装成合法的Agent行为：

攻击步骤	表面行为	实际意图
读取文件	Agent正常访问知识库	窃取系统凭据
执行命令	Agent按允许列表运行脚本	通过heredoc注入恶意命令
调用MCP工具	Agent与本地服务通信	冒充所有者提升权限
写入配置	Agent更新自身设置	植入持久化后门

传统WAF、EDR、IDS等工具很难区分”正常Agent行为”和”恶意Agent行为”，因为它们共享相同的进程身份、网络连接和系统调用模式。

---

六、影响范围与在野利用

6.1 全球暴露资产

数据来源	暴露实例数量	关键发现
Cyera评估	~245,000	全球公开可访问实例
SecurityScorecard STRIKE	135,000+	2026年2月探测数据
Hunt.io	17,500	可指纹识别的实例
Shodan	21,000+	零认证运行实例
综合统计	63%	暴露实例无身份认证配置

6.2 在野利用确认

多个独立来源（包括The Hacker News、Reddit、LinkedIn）已确认Claw Chain漏洞正在被积极利用。攻击者利用这些漏洞：

在网络中横向移动

提升权限

维持持久化访问

窃取敏感数据

创建未授权定时任务

部署持久化恶意软件

---

七、紧急修复与响应指南

✅ 立即行动（24小时内）

第一步：立即升级

升级到安全版本

openclaw–version

确认当前版本

必须升级到 2026.4.22 或更高版本

所有四个漏洞已在OpenClaw 2026.4.22中修复。

第二步：轮换所有凭据假设所有环境变量和可被Agent进程访问的凭据已经泄露。以下必须全部重新生成：

API密钥（AWS、Azure、GCP等云服务商）

OAuth令牌

数据库密码

SSH私钥

Telegram机器人令牌

任何存储在Agent Vault中的敏感凭证

第三步：审计暴露实例

使用Shodan搜索公网暴露的OpenClaw实例

或使用内部资产盘点工具

找到所有暴露在公网上的部署，立刻加上认证或防火墙保护

第四步：审查Agent权限每个Agent能访问什么数据？能操作哪些系统？权限应该最小化，而不是默认全开。

🛡️ 长期加固建议

措施	具体操作
身份管理	将Agent视为特权身份（service account），应用与服务账号相同的访问控制和生命周期管理
供应链审计	审计所有插件和供应链输入，限制插件安装权限，新插件需要安全审查
网络隔离	将OpenClaw部署放在独立网段，配置严格的出口控制，限制数据外传路径
运行时监控	部署eBPF-based运行时检测，识别异常进程执行、网络连接和文件访问
日志审计	监控OpenClaw网关日志中的异常行为，特别是device.token.rotate和system.run调用

---

八、 broader context：OpenClaw的”漏洞年”

2026年对OpenClaw而言是安全事件的”多事之秋”。除Claw Chain外，近期还密集披露了多个高危漏洞：

漏洞编号	CVSS	类型	影响
CVE-2026-25253 (“ClawBleed”)	8.8	一键RCE	通过恶意网页窃取令牌实现远程代码执行
CVE-2026-32922	9.9	权限提升	设备令牌轮换缺少范围校验，低权限变管理员
CVE-2026-41329	9.9	沙箱绕过	心跳上下文继承机制权限边界校验不充分
CVE-2026-43584	严重	环境变量绕过	覆盖解释器启动变量实现任意代码执行

这些漏洞共同揭示了一个趋势：AI Agent平台正成为攻击者的新目标。当Agent被赋予执行代码、管理基础设施、访问敏感数据的权限时，它本身就是一个”高价值目标”。

---

九、安全启示：Agent时代的”信任危机”

Claw Chain漏洞给我们三个深刻启示：

1️⃣ “Agent即攻击面”

不要把Agent仅仅看作”工具”。当它拥有执行权限、访问凭证、连接基础设施的能力时，Agent本身就是攻击面。对它的安全防护级别，应该等同于对域控制器或核心数据库的防护。

2️⃣ “客户端不可信”

CVE-2026-44118的根本教训是：永远不要信任客户端自我声明的身份。senderIsOwner这种客户端控制的标志，必须与服务端认证会话进行严格绑定和校验。

3️⃣ “沙箱不是万能的”

TOCTOU漏洞的存在表明，沙箱机制如果实现不当，反而会给使用者一种”虚假的安全感”。沙箱的边界校验必须是原子操作，检查和使用之间不能有任何时间窗口。

---

十、结语

OpenClaw的”Claw Chain”漏洞链，是AI Agent安全领域的一个标志性事件。它告诉我们：当AI被赋予”手”和”脚”去操作世界时，保护AI本身的安全，就是保护整个数字世界的安全。

24.5万个暴露实例、63%无认证运行、在野利用已确认——这些数字背后是真实的企业风险。对于所有使用OpenClaw的团队而言，升级、轮换、审计三件事，今天必须完成。