四枚漏洞串联成链:OpenClaw AI智能体遭遇严重安全危机

安全研究机构Cyera近日在OpenClaw中发现了四个此前未知的安全漏洞。OpenClaw是目前增长最快的开源自主AI智能体平台之一，自2025年底以Clawdbot之名推出以来，已被广泛部署于企业工作流中，用于IT自动化、客户服务以及与Telegram、Discord和微软Agent 365等平台的集成。这四个漏洞的CVSS评分从7.7到9.6不等，其中最严重的一个被评为严重级别。OpenClaw维护者已在2026年4月23日发布补丁修复了这些问题，但在此之前的所有版本均受影响。据网络空间搜索引擎数据显示，目前仍有约6.5万至18万个OpenClaw实例直接暴露在公网上。

四个漏洞中有一个是TOCTOU文件系统写入逃逸漏洞，攻击者可以利用检查时与使用时的竞态条件，将写入操作重定向到沙箱边界之外，从而实现配置篡改、后门植入和对主机的持久化控制。另一个是执行白名单环境变量泄露漏洞，OpenClaw的命令验证与Shell执行之间存在间隙，环境变量中携带的API密钥、令牌和凭证会在未被引用的heredoc中被展开，通过看似安全的命令返回敏感数据。第三个是MCP回环权限提升漏洞，OpenClaw信任客户端控制的ownership标志而不与已认证会话进行验证，本地持有有效持有令牌的进程可以将自身提升到所有者级别权限，从而获得对网关配置、定时任务和执行环境的管理能力。第四个是TOCTOU文件系统读取逃逸漏洞，攻击者利用竞态条件将已验证的文件路径替换为指向允许挂载根目录之外的符号链接，从而暴露本不该被智能体触及的系统文件、凭证和内部工件。

单个漏洞已经构成威胁，但将它们串联起来的攻击链才是真正值得警惕的地方。攻击者只需获得一个供应链式的初始立足点，例如通过恶意插件、提示词注入或被攻陷的外部输入在沙箱内获得代码执行权限。随后利用TOCTOU读取逃逸和环境变量泄露漏洞，窃取超出智能体设计范围的凭证和敏感文件。接着利用MCP回环漏洞将受感染进程提升到智能体运行时的所有者级别控制权。最后利用TOCTOU写入逃逸漏洞植入后门、修改配置或改变智能体未来的行为。

更令人担忧的是，攻击者可以利用AI智能体自身来执行这条攻击链。通过武器化智能体的自身权限，攻击者可以完成数据访问、权限提升和持久化植入，而智能体成了他们在环境中的手脚。每一步在传统安全控制措施看来都像是正常的智能体行为，使得检测变得极其困难，攻击的爆炸半径也因此被大幅放大。

OpenClaw智能体通常被授予对内部系统、凭证和SaaS数据的广泛访问权限，很多时候其治理强度甚至弱于它所连接的系统。一旦被攻陷，攻击者可以从智能体运行时窃取环境变量、持有令牌、认证材料和内部配置，从主机文件系统获取超出沙箱范围之外的敏感文件、系统凭证和内部源代码，通过智能体自身权限进一步访问已连接的企业系统和数据，以及用户提示词、对话记录和执行输出。

受影响最严重的包括使用OpenClaw进行IT支持、业务流程自动化或客户服务的企业，将OpenClaw与消息平台或企业系统集成的开发团队，以及金融、医疗、法律等受监管行业中智能体提示词和输出可能包含敏感数据的组织。任何将OpenClaw暴露在公网且未加认证或网络控制保护的部署都应视为高危。

对于正在运行OpenClaw的组织，建议立即采取行动。在24小时内应用2026年4月23日发布的补丁，通过资产盘点或外部扫描定位所有公网暴露的OpenClaw实例并置于认证或防火墙保护之后，同时假设任何可被OpenClaw进程访问的环境变量或凭证都可能已泄露，立即轮换API密钥、令牌和持有凭证。在一周内审计智能体权限，严格缩小可访问范围，将智能体视为特权身份并应用与服务账户相同的访问控制和监控策略，审查插件、提示词和外部输入来源，限制安装权限并对新插件进行审查，同时将OpenClaw部署在隔离的网络分段中，严格控制出站流量以限制数据外泄路径。这次漏洞披露再次提醒我们，AI智能体已成为主要执行面，而围绕它们的安全模型尚未跟上步伐。当智能体拥有访问内部系统的钥匙，任何一个漏洞都可能成为整个企业环境失守的起点。