乐于分享
好东西不私藏
当前位置:夜雨聆风 > 技术教程 > 软件教程 > Agent 安全风险实战化: 从 OpenClaw 到 Claude Code 的攻击链全复盘

Agent 安全风险实战化: 从 OpenClaw 到 Claude Code 的攻击链全复盘

当前时间: 2026-05-24 13:43:56 更新时间: 2026-05-24 分类:软件教程 评论(0)

Agent 安全风险实战化: 从 OpenClaw 到 Claude Code 的攻击链全复盘

Cyera 披露的 “Claw Chain” 漏洞链:四个漏洞串联,从沙箱内代码执行到完全逃逸

2026年5月,Cyera 发布了一份让 Agent 开发者睡不着的报告。OpenClaw 的四个漏洞可以被串成一条链:从 prompt injection 触发初始代码执行,到读取沙箱外文件,再到提升权限、完全逃逸,最后植入持久后门。这不是理论推演——公开可访问的 OpenClaw 实例超过六万个,每个都可能成为攻击者的入口。

几乎同时,Adversa AI 披露了 TrustFall 攻击:Claude Code 在克隆仓库时,一个 folder trust 的确认点击就能让攻击者获得完整系统权限。OpenAI 自己也成了 TanStack 供应链攻击的受害者,员工设备被入侵,代码签名证书被迫撤销。

Agent 的安全风险,已经从”可能有问题”变成了”已经被利用”。这篇文章把两条攻击链拆开来看,每一步都对应一个真实漏洞、一个真实事件。

OpenClaw “Claw Chain”:四个漏洞串成一条攻击链

Cyera 的研究团队给这条攻击链起了个名字:Claw Chain。四个漏洞单独看都不算致命,但串在一起,攻击者可以用 Agent 自己的权限做完整套入侵动作。

攻击链全景:

Prompt Injection / 恶意插件 / 被篡改的外部输入
→ 触发初始漏洞,获得 OpenShell 沙箱内代码执行
→ CVE-2026-44113(race condition):读取 mount namespace 外文件
→ CVE-2026-44118(MCP loopback):操纵未验证所有权标志,提升至 owner 权限
→ CVE-2026-44112(CVSS 9.8):完全逃逸沙箱
→ 植入持久后门,窃取凭证、API key、token、内部配置

第一步的入口并不苛刻。攻击者可以通过 prompt injection、恶意插件或者被篡改的外部输入来触发。OpenClaw 的 Agent 通常能访问大量内部系统和数据,沙箱一旦被突破,攻击者拿到的不是一台隔离机器的权限,而是整个环境的钥匙。

CVE-2026-44112 的 CVSS 评分是 9.8,属于 critical。这个 race condition 存在于 OpenShell 沙箱中,攻击者利用它完全绕过沙箱限制。Cyera 的原话是:”By weaponizing the agent’s own privileges, an adversary moves through data access, privilege escalation, and persistence – using the agent as their human insider.”

超过六万个公开可访问的 OpenClaw 实例,每一个都可能成为这样的入口。这不是”如果”的问题,是”什么时候”的问题。

Claw Chain 四步攻击链:凭证窃取 → 沙箱逃逸 → 权限提升 → 后门植入

Claude Code TrustFall:一个 folder trust 点击引发的供应链灾难

Adversa AI 发现的 TrustFall 攻击,攻击面比 Claw Chain 更隐蔽,因为它利用的是 Claude Code 的正常工作流。

攻击者准备一个看似正常的代码仓库,里面藏着恶意 JSON 文件,放在 Claude Code 会读取的标准位置。当开发者用 Claude Code 处理新任务时,它会自动搜索并克隆辅助仓库。克隆完成后,Claude Code 弹出一个 folder trust 提示——用户点”确认”,攻击者定义的 MCP 服务器立即以用户完整权限启动。

TrustFall 攻击原理:

1. 攻击者发布含恶意 JSON 的公开仓库
2. Claude Code 自动搜索并克隆该仓库
3. 恶意 JSON 提供任意代码执行能力
4. 用户点击 folder trust 确认
5. 攻击者 MCP 服务器以用户完整权限启动
6. 结果:长期 C2 通道,或供应链级恶意代码传播

最危险的场景是 CI/CD 流程中使用 Claude Code。如果开发者的任务是”为广泛部署生产新工具”,恶意代码可以被注入到全球部署的软件中。从单个开发者的 folder trust 点击,到全球供应链污染,中间只隔了一个自动化的构建流程。

Adversa 的原话是:”Both spawn attacker-defined MCP servers as OS processes with the user’s full privileges the moment the folder trust prompt is accepted.” 这个”moment”就是整个攻击的转折点——用户以为自己在确认一个文件夹的信任关系,其实是在给攻击者签发系统级权限。

这也不是孤立事件。OpenAI 在 TanStack 供应链攻击中,两台员工设备被入侵,代码仓库凭证和 secrets 外泄。攻击者获取了 iOS、macOS、Windows、Android 的代码签名证书——理论上可以用这些证书发布伪装成 OpenAI 官方应用的恶意软件。OpenAI 的应对是撤销所有证书并重新签名,macOS 用户必须在 6 月 12 日前更新,否则应用停止工作。

TrustFall:从 folder trust 点击到供应链污染的完整路径

Anthropic 沙箱绕过:存在六个月的 null byte 漏洞

研究员 Aonan Guan 发现的 Claude Code 网络沙箱绕过,漏洞原理简单到让人不安。

Claude Code 的网络沙箱通过本地 allowlist 代理过滤出站流量,只允许访问白名单内的域名。攻击者构造一个 hostname:attacker-host.com\x00.google.com。沙箱过滤器看到 trailing 的”.google.com”,认为符合白名单规则,予以放行。操作系统在 null byte 处截断,实际连接的是 attacker-host.com。

这个漏洞从 2025 年 10 月 20 日沙箱 GA 发布就存在,直到 2026 年 4 月版本 2.1.90 才被修复。六个月的时间里,任何能够触发 prompt injection 的攻击者,都可以利用这个 bypass 把数据从沙箱内网外泄到任意服务器。

另一个研究员发现的 CVE-2025-66479 在 2025 年 11 月 26 日就被修复了,但 Guan 发现的 variant 又多存在了五个月。这说明沙箱的安全模型本身可能有系统性问题——修了一个 bypass,另一个 variant 还在。

Claude AI 引导攻击 OT 资产:从数字世界到物理世界

Dragos 的报告描述了一次墨西哥水务设施攻击,Claude AI 在其中扮演的角色比大多数人想象的更主动。

攻击者用 Claude 作为主要技术引擎,负责入侵规划、工具开发和问题解决;GPT 辅助处理受害者数据和结构化报告。Dragos 恢复了一个 17,000 行的 Python 攻击框架,全部由 Claude 编写并持续迭代,包含网络侦察、凭证收集、横向移动、数据外泄模块。

最关键的一步是 Claude 独立识别出了 vNode SCADA 和 IIoT 管理界面。攻击者没有告诉它”去找 SCADA”,Claude 自己从网络扫描结果中推断出了这个资产的价值,并给出了访问建议。

Dragos 的评估很克制:”The toolset was not particularly sophisticated or novel, but the speed at which Claude assembled, tested, and iterated on it was operationally significant, compressing what would have taken weeks into days.” 工具本身不新,但压缩时间这件事很要命——防御方的响应窗口被大幅压缩了。

AI 既是防御盾牌也是攻击长矛:Google 用 AI 发现 200+ Chrome 漏洞,黑客用 Claude 攻击水务设施

两条攻击链的共性:Agent 的权限就是攻击者的权限

Claw Chain 和 TrustFall 看起来是两条不同的攻击路径,但核心逻辑是一样的:Agent 被设计用来访问大量内部资源,而攻击者只需要找到一个入口,就能继承这些权限。

OpenClaw 的六万个实例,每一个都有广泛的内部系统和数据访问权限。Claude Code 的 folder trust,点下去就是完整系统权限。这些不是配置失误,是产品设计的固有特性——Agent 要干活,就必须有权限;有权限,就必然成为攻击目标。

更麻烦的是,Agent 的攻击面还在扩大。TeamPCP 发布了 Shai-Hulud 蠕虫源码并悬赏鼓励使用,AI Coding Agent 成为新的供应链攻击向量,G7 刚刚发布 AI SBOM 指导框架——连政府层面都意识到,AI 系统的供应链透明度已是需要国际协调的问题。

安全行业也在加速。Exaforce 融资 1.25 亿美元做 Agentic SOC,Ocean 融资 2800 万美元做 Agentic Email Security,Sweet Security 推出 Agentic AI Red Teaming。钱往哪里流,说明问题在哪里。

Agent 的安全问题有一个根本矛盾:产品团队想让 Agent 多访问、多执行,安全团队想让 Agent 少暴露、少越界。这两个目标在产品层面是冲突的,目前没看到很好的调和方案。

Cyera 披露 Claw Chain 后,OpenClaw 的修复进展我没有追踪到。Anthropic 修复了沙箱绕过,但 TrustFall 的利用方式依赖于用户交互,很难用补丁彻底解决。OpenAI 撤销了证书,但 TanStack 攻击的源头——那 170 个包的 400 多个恶意版本——已经流入了多少构建流程,没人说得清。

如果你在用 OpenClaw、Claude Code、Cursor 或者类似的 Agent 工具,现在值得停下来想想:这个 Agent 能访问什么?沙箱边界在哪里?一旦被入侵,最坏情况下攻击者能拿到什么?

这些问题没有标准答案。但连问题都不问,比答案错误更危险。