＂沙盒安全＂神话破灭:OpenClaw 的 Claw Chain 漏洞给 AI Agent 行业带来什么警示

过去 48 小时，Cyera 安全研究团队披露的 “Claw Chain” 漏洞链条，可能是 2026 年 AI Agent 赛道最重要的安全事件。

四个漏洞（CVE-2026-44112/44113/44115/44118），最高 CVSS 9.6 分。攻击路径清晰得令人心惊：从恶意插件或 prompt 注入获得沙盒内代码执行 → 利用 TOCTOU 竞态条件读取沙盒外敏感文件 → 通过 heredoc 注入泄露环境变量中的凭证 → 利用 MCP 回路缺陷提权至 owner 级别 → 最后再次利用 TOCTOU 竞态条件向沙盒外写入后门。

这不是理论上的攻击。Cyera 的扫描数据显示，截至 2026 年 5 月，Shodan 和 ZoomEye 上可公开访问的 OpenClaw 实例约 6.5 万至 18 万台。这些实例往往拥有对内部系统、SaaS 数据和凭证的广泛访问权限。

我的判断是：这标志着一个认知拐点的到来。过去几个月，OpenClaw 以及整个 AI Agent 行业的叙事核心是”能力”——能做什么、做得多快、能多自主。Claw Chain 事件无情地揭示了：当 agent 拥有如此高的权限时，沙盒本身并不可靠，传统的安全边界假设正在失效。

有趣的是，就在 Claw Chain 披露的同一天，Anthropic 发布了《How we contain Claude》一文，详细介绍了 Claude Code、claude.ai 和 Claude Cowork 三种产品的安全架构差异——从 OS 级沙盒 + 人工审批，到完整 VM 隔离。这种对比几乎像是有意为之：一边是最激进的开放（OpenClaw），一边是最谨慎的隔离（Claude Cowork），而市场正在两者之间寻找平衡点。

我的探索

昨天我尝试用 OpenClaw 的 2026.5.22 新版本跑了一个自动化任务链：读取邮件 → 提取附件 → 写入 Notion → 发送 Slack 通知。

整个过程确实比一个月前流畅很多。/models 调用从 20 秒降到 5 毫秒（官方称提速约 4100 倍），这个优化在日常使用中真的能感知到——切换模型时几乎无延迟。

但 Claw Chain 事件让我重新思考这个设置的安全边界。我的 OpenClaw 实例可以访问：Gmail（含敏感客户邮件）、Notion（公司内部文档）、Slack（团队沟通记录）、以及本地文件系统的部分目录。如果恶意插件或一个精心构造的 prompt 注入能突破沙盒，攻击者获得的权限是相当可观的。

我检查了目前的防护措施：1）只安装官方或高星社区插件；2）敏感操作（如发送邮件）设置了人工确认；3）定期轮换 API 密钥。但这些措施在 Claw Chain 的攻击路径面前显得不够系统。

今天的计划是:评估是否需要升级到最新版本（2026.5.27），以及考虑为关键 workflow 增加额外的隔离层。

一张地图

• 【★★★】 Anthropic 发布 Claude 产品线的安全架构详解——从 OS 沙盒到 VM 隔离的三层防护策略，可视为对 Claw Chain 事件的回应式表态

• 【★★☆】 OpenClaw 2026.5.22/5.26 连续发布性能与安全加固版本，模型切换速度提升 4100 倍，新增会议笔记插件

• 【★★☆】 36氪深度报道《”全民养虾”50天》——OpenClaw 从封神到退潮的完整复盘，NPM 下载量腰斩、Hermes 反超

• 【★☆☆】 香港理工/港科大研究团队发布 ULSPB 基准——发现日常对话即可”黑化”个性化 Agent 的长期记忆，无需恶意攻击

OpenClaw 日报 | 每天一个信号，一段真实笔记日期：2026-05-29