数据安全公司Cyera近日披露了OpenClaw框架中的四个高危漏洞，攻击者可将这些漏洞串联利用，实现从初始访问到系统持久化控制的完整攻击链。这一漏洞组合被命名为”Claw Chain”，影响2026年4月23日之前的所有OpenClaw版本。目前OpenClaw已被众多企业用于自动化运维、代码审查、数据分析等场景，因此此次漏洞的影响范围相当广泛。

最严重的漏洞编号为CVE-2026-44112，CVSS评分高达9.6（满分10分）。该漏洞源于OpenClaw的OpenShell沙箱中存在的时间-of-check时间-of-use（TOCTOU）竞态条件。TOCTOU是操作系统安全中的经典漏洞模式：程序检查某个条件的时间点和实际使用该条件的时间点之间存在窗口，攻击者可以在这个窗口内改变条件状态。攻击者利用此漏洞可以修改系统配置文件、植入恶意后门，最终获得宿主机的持久化系统级控制权。

第二个高危漏洞CVE-2026-44115（CVSS 8.8）是一个逻辑缺陷，攻击者可利用它获取API密钥、OAuth令牌、数据库连接凭证及其他敏感数据。这个漏洞不需要复杂的利用技术，只需要诱使Agent处理特定格式的外部数据，Agent就会在内部操作过程中将敏感信息写入可被攻击者访问的位置。攻击者只需要构造一个包含恶意指令的数据文件，等待Agent处理即可。

此外还有两个权限提升漏洞：CVE-2026-44118和CVE-2026-44113，CVSS评分均为7.8，分别与不当的会话验证和配置文件访问有关。攻击者可以利用这些漏洞从Agent的普通用户权限提升到管理员权限，从而获得对系统更大范围的访问和控制。

Cyera在报告中指出，这四个漏洞虽然各自都有一定威胁，但真正的风险在于它们可以被串联利用。攻击者只需要一个入口点——比如通过恶意插件、篡改提示词或任何Agent可能处理的外部数据源——就能从同一个foothold同时发起三个漏洞的攻击。这种组合利用方式大大降低了攻击难度。

更值得警惕的是，由于攻击链中每一步都利用了AI Agent自身的合法能力和权限，传统的安全监控工具很难检测到这种异常行为。Agent的文件读写、命令执行、工具调用，在日志中看起来都与正常行为无异。目前OpenClaw官方已在2026.4.22版本中修复了所有漏洞，所有使用受影响版本的用户应立即升级，并检查系统是否已被入侵。