OpenClaw权限管控全线失守:低权限用户可越权执行管理员命令

🚨 紧急预警

2026年5月29日，OpenClaw 项目再次曝出三个高危授权绕过漏洞（最高 CVSS 8.8），攻击者可以利用低权限账号越权执行管理员级别的操作——包括安装插件、修改配置、绕过审批流程，甚至通过 QQ 机器人直接批准敏感命令。如果你正在使用 OpenClaw 作为企业或个人 AI 助手，请立即检查版本。

📌 前情提要：此前我们已报道过 OpenClaw 的 CVE-2026-30615/30617/30624/30616——四个 MCP 供应链远程代码执行漏洞，攻击者可通过恶意 MCP 服务器直接接管你的 AI 助手。那次是「外部攻击者入侵」的问题，而这一次暴露的是「内部权限管控完全失守」——你给团队成员分配的低权限账号，实际上等同于管理员权限。

📋 风险确认表

已确认的风险

🔍 快速自查（2分钟）

第一步：检查 OpenClaw 版本

openclaw --version

如果版本低于 2026.5.18，你同时受到 CVE-2026-35674 和 CVE-2026-35630 的影响。如果版本低于 2026.5.4，则三个漏洞全部存在。

第二步：检查是否使用了 scope 权限隔离

如果你为团队成员或外部协作者分配了受限的 operator.write 权限（而非完整的 operator.admin），期望他们只能发送聊天消息而不能修改系统配置，那么 这个隔离在修复前完全无效。受影响版本中，operator.write 等同于 operator.admin。

第三步：检查已配对设备列表

openclaw devices list

检查列表中是否有你不认识的设备。如果有，说明可能已被利用 CVE-2026-32905 注册了未经授权的设备。这些设备拥有 operator/node 级别权限，且凭据不会自动过期，必须手动移除。

🛡️ 自救指南

第一步：立即升级到 2026.5.18+

npm update -g @openclaw/cli
# 或
openclaw update

注意：CVE-2026-32905 在 2026.5.4 中修复，CVE-2026-35674 和 CVE-2026-35630 在 2026.5.18 中修复。升级到 2026.5.18 可同时修复全部三个漏洞。

第二步：审查已配对设备

升级后，执行 openclaw devices list，移除所有你不认识的设备。特别注意检查那些拥有 operator 或 node 角色的设备配对记录。

第三步：审查已安装的插件和 MCP 服务器

但如果曾使用受限 scope 分配过 operator.write 权限给团队成员或外部协作者，需要检查是否有未经授权的插件被安装或 MCP 服务器被添加。执行 openclaw plugins list 和 openclaw mcp list，确认所有插件和 MCP 配置都符合预期。对于无法确认来源的插件或服务器，建议一律移除后重新安装。

第四步：轮换所有 API 密钥

如果确认已被利用，攻击者可能通过绕过审批安装了恶意插件或 MCP 服务器，这些组件可能已经窃取了你的 LLM API 密钥（OpenAI、Anthropic、通义千问等）。建议立即轮换所有 API 密钥，并检查相关 API 服务的调用日志是否存在异常消费。

🔬 技术分析

CVE-2026-35674：Gateway 作用域绕过（CVSS 8.8）

这是三个漏洞中危害最大的一个。OpenClaw 的 Gateway 组件通过 scope 机制实现了细粒度的权限控制：operator.write 权限只能发送聊天消息，operator.approvals 权限才能审批执行命令，operator.admin 权限才能修改系统配置（安装插件、修改白名单、添加 MCP 服务器等）。这种分层设计在理念上是正确的——企业可以为不同角色的团队成员分配不同权限。

然而，漏洞的核心问题出在 Gateway 的 chat.send 路由上。这个路由被设计为处理聊天消息发送，理论上只需要 operator.write 权限。但 OpenClaw 在实现外部路由继承机制时，未对继承链中的权限边界进行隔离。攻击者可以通过构造特定的聊天消息，利用继承的外部路由将命令请求转发到需要更高权限的内部端点，从而 绕过 operator.approvals 和 operator.admin 的权限检查。

这意味着，一个只被授予「发送聊天消息」权限的协作者，实际上可以未经任何审批就安装任意插件、添加任意 MCP 服务器、修改系统配置中的 allowlist 和 ACP（访问控制策略）规则。在企业场景中，这等同于给了每个能发消息的人系统管理员权限。更严重的是，攻击者可以通过安装恶意 MCP 服务器（如之前报道的供应链攻击模式），将授权绕过升级为完全的远程代码执行，实现从「低权限用户」到「系统完全控制」的完整提权链。

CVE-2026-32905：设备配对授权绕过（CVSS 8.3）

OpenClaw 内置了一个 device-pair 插件，用于管理设备的配对和认证。设备配对流程允许已认证用户生成引导码（bootstrap code），让新设备通过输入该代码加入系统。正常情况下，只有系统所有者（owner）才应该有权生成设备配对引导码。

但该插件在实现中存在严重的授权缺陷：它只验证了用户是否有发送聊天消息的权限，完全没有验证用户的 scope 是否包含设备管理权限。任何能通过聊天接口发送命令的用户——包括仅拥有 operator.write 权限的协作者——都可以调用设备配对接口生成引导码。

利用此漏洞注册的设备将获得 operator/node 级别的持久凭证。更关键的是，这些凭证不会自动过期——攻击者注册的设备将永久保持访问权限，直到管理员手动发现并移除。这为攻击者提供了长期后门。在多租户部署场景中，一个租户的协作者可以通过此漏洞注册设备，获取到跨租户的访问能力，造成严重的跨租户数据泄露。

CVE-2026-35630：QQBot 审批按钮绕过（CVSS 8.0）

OpenClaw 支持通过 QQ 机器人进行交互。当 AI 助手需要执行敏感操作（如 exec 命令或安装插件）时，系统会生成审批请求，在 QQ 聊天界面显示审批按钮，等待授权用户点击确认。

这个设计的初衷是安全且合理的——只有管理员才能批准敏感操作。然而漏洞在于，QQBot 的原生审批按钮 未验证点击者的身份。系统没有检查点击按钮的用户是否真的是配置中的审批人（approver），只要有人点击了「批准」按钮，请求就会被放行。

在 QQ 群场景中，这意味着群内任何成员都可以批准需要管理员权限的操作。如果一个攻击者向 QQ 群内的 OpenClaw 发送需要审批的命令，然后自己点击批准按钮，整个审批流程就形同虚设。对于通过 QQ 部署 OpenClaw 的企业团队来说，这是一个极其危险的设计缺陷——因为 QQ 群的成员管理通常远不如企业权限系统严格，新成员加入、临时访客访问都是常见场景。

🇨🇳 中国用户影响评估

OpenClaw 在中国开发者社区拥有极高的使用率，这主要得益于其原生支持 QQ、微信、飞书、钉钉 等国内主流 IM 平台的 AI 助手集成。在 Google Gemini、ChatGPT 等海外 AI 服务受到网络限制的环境下，大量中国企业选择 OpenClaw 搭建私有化 AI 助手，连接国产大模型 API（智谱 GLM、通义千问、文心一言、DeepSeek 等）。

CVE-2026-35630（QQBot 审批绕过）对中国用户的影响尤为突出。许多国内团队通过 QQ 群将 OpenClaw 作为团队 AI 助手使用，群成员包括正式员工、实习生、外部协作者甚至临时访客。在修复前，这些群成员中任何人都可以绕过审批执行敏感操作。考虑到 QQ 群的开放性远高于企业权限系统，这个漏洞的实际风险被显著放大。

此外，中国企业普遍使用自建 API 密钥连接国产大模型服务。这些密钥通常与企业的预付费额度绑定——一旦攻击者通过授权绕过漏洞获取到密钥，不仅可能导致敏感对话内容泄露，还可能造成直接的经济损失。建议所有使用国产大模型 API 的 OpenClaw 用户立即轮换 API 密钥。

🔗 攻击链还原

假设一个攻击者获得了 OpenClaw 系统的 operator.write 权限（可能通过加入 QQ 群、被邀请为协作者、或利用之前报道的 MCP 供应链漏洞），以下是完整的攻击路径：

第一阶段：侦察。攻击者通过 QQ 群或 WebChat 接口向 OpenClaw 发送普通聊天消息，确认自己拥有基本的 operator.write 权限。然后通过聊天命令枚举当前安装的插件、MCP 服务器和设备列表，收集系统信息。攻击者会特别关注已配置的 LLM API 密钥类型——OpenAI、Anthropic、智谱 GLM、通义千问等服务的密钥存储在系统内存中，一旦获取即可产生直接的经济损失。

第二阶段：持久化。利用 CVE-2026-32905，攻击者调用设备配对接口生成引导码，注册一个新设备获得 operator/node 级别的持久凭证。这个后门不依赖聊天权限，即使后续管理员收回了聊天权限，设备凭证依然有效。

第三阶段：权限提升。利用 CVE-2026-35674 的 scope 绕过，通过 chat.send 路由的继承机制，发送精心构造的消息安装恶意插件或添加攻击者控制的 MCP 服务器。由于绕过了审批流程，整个过程无需任何管理员操作。

第四阶段：数据窃取与横向移动。通过安装的恶意插件或 MCP 服务器，攻击者可以访问系统内存中的 LLM API 密钥、读取用户对话历史、修改系统配置。在企业环境中，OpenClaw 通常承载着敏感的内部对话——包括代码审查讨论、业务决策记录、客户数据等。攻击者不仅能窃取这些数据，还可以利用 OpenClaw 的 Agent 能力在企业内网中进行横向移动，将 AI 助手作为跳板攻击其他内部系统。

📖 安全历史回顾

回顾 OpenClaw 的安全历史，可以发现一个令人担忧的模式：授权和权限隔离一直是这个项目的薄弱环节。

在不到两个月的时间里，OpenClaw 连续披露了 7 个高危漏洞。其中 4 个是外部攻击面的远程代码执行问题，3 个是内部权限管控的授权绕过问题。两批漏洞的类型截然不同，但都指向同一个根本原因：作为一个 37.5 万星的项目，OpenClaw 的安全开发流程仍处于追赶阶段。

AI Agent 框架的特殊性在于，它的权限模型比传统 Web 应用更复杂——它需要同时处理聊天消息、代码执行、插件管理、MCP 服务器通信、多设备配对等多个维度的权限控制。每个维度都需要独立且一致的授权验证。OpenClaw 在 Gateway 路由继承、设备配对接口和 QQBot 审批按钮三个不同位置都出现了类似的「缺少权限验证」问题，说明这并非偶然的编码疏忽，而是架构层面的安全设计缺失。对于正在考虑采用 OpenClaw 或类似 AI Agent 框架的企业来说，这一教训值得认真对待——在选择和部署此类框架时，必须将权限模型的安全性作为核心评估指标，而非仅关注功能丰富度。

🏢 企业应急响应建议

• 资产盘点：立即清点所有运行 OpenClaw 的服务器和容器实例，确认版本号。特别注意通过 Docker、Kubernetes 部署的实例——容器镜像可能未及时更新。
• 权限审计：审查所有 operator 用户的 scope 配置，确认没有异常权限分配。检查日志中是否存在通过 operator.write 权限执行的 operator.admin 级操作。
• 设备清理：执行 openclaw devices list，逐一核对已配对设备的合法性，移除所有未知设备。
• 插件和 MCP 清单：检查已安装的插件列表和 MCP 服务器配置，确认没有未经授权的条目。特别注意通过 QQBot 或 Telegram Bot 安装的插件。
• 密钥轮换：如果确认存在异常活动，立即轮换所有 LLM API 密钥，检查 OpenAI、Anthropic、智谱、通义千问等服务的调用日志和消费记录。

🛡️ 防御纵深建议

• 最小权限原则：即使 OpenClaw 修复了 scope 绕过漏洞，也应在操作系统层面限制 OpenClaw 进程的权限——使用专用用户运行，限制文件系统访问和网络出口。
• 网络隔离：将 OpenClaw Gateway 部署在独立的网络分段中，仅暴露必要的端口（聊天接口端口）。禁止 Gateway 直接访问内网其他服务。
• API 密钥隔离：为 OpenClaw 创建专用的 LLM API 密钥，设置独立的速率限制和消费配额。这样即使密钥泄露，影响范围也可控。
• 日志审计：启用 OpenClaw 的完整审计日志，记录所有插件安装、MCP 服务器添加、设备配对和权限变更操作。建议将日志转发到独立的 SIEM 系统。
• 定期安全审查：OpenClaw 作为快速迭代的开源项目（几乎每日更新），建议将安全版本检查纳入常规运维流程，至少每周检查一次是否有新的安全更新。

🔧 解决方案

将 OpenClaw 升级到 2026.5.18 或更高版本，可同时修复三个漏洞：

npm update -g @openclaw/cli

官方安全公告：

• GHSA-hw9r-h9mr-4jff（CVE-2026-35674）
• GHSA-xr4f-mjxj-w6w5（CVE-2026-32905）
• GHSA-mgq6-vr84-7m2j（CVE-2026-35630）

来源：NVD、GitHub Security Advisories、VulnCheck

龙虾池子 · AI 自动生成