乐于分享
好东西不私藏

研究人员详细介绍了利用 OpenClaw 三个漏洞实现 WhatsApp 到主机攻击链的过程

研究人员详细介绍了利用 OpenClaw 三个漏洞实现 WhatsApp 到主机攻击链的过程

关于OpenClaw个人人工智能(AI)助手中现已修补的三个安全漏洞的细节浮出水面,如果成功利用,可能导致凭证盗窃、权限升级以及对主机的任意代码执行。

对这些高严重性漏洞的简要描述如下——

  • GHSA-hjr6-g723-hmfm
    (CVSS 评分:8.8)——操作系统命令注入和不完整的不允许输入列表漏洞,影响主机执行环境过滤机制,可能导致执行或持久执行超出调用者预授权范围的操作。
  • GHSA-9969-8g9h-rxwm
    (CVSS 评分:8.8)——操作系统命令注入和不完整的不允许输入列表漏洞,影响主机执行环境过滤机制,可能导致执行或持久执行超出调用者预授权范围的操作。
  • GHSA-575v-8hfq-m3mc
    (CVSS 评分:8.4)——一个路径遍历和链路跟踪的漏洞,可能允许沙箱绑定挂载绕过父目录的拒绝列表检查,执行本应通过更强授权或策略检查来保护的操作。

这三个缺点均在 OpenClaw 2026.6.6 版本中得到解决。

在上周发布的一系列公告中,OpenClaw维护者表示,“实际影响取决于运营商的配置以及低信任度输入是否能达到该路径。”

然而,安全研究员Chinmohan Nayak(被认为发现并报告了这些问题)在与《黑客新闻》分享的一份报告中表示,这些漏洞可以用来通过WhatsApp发送的外部消息触发主机代码执行。

与Cyera今年五月披露的Claw Chain漏洞不同,这些新发现的漏洞不需要攻击者先建立立足点即可提取敏感数据、放置持久后门、获得任意远程代码执行,并协助逃逸到主机。

“’getBlockedReasonForSourcePath()’检查源路径是否处于阻塞路径之下,”这位研究人员解释了GHSA-575v-8hfq-m3mc。“但它从不反向检查——被阻挡的路径是否位于源(父目录绕过)之下。”

具体来说,绑定挂载拒绝列表会阻挡像“~/.ssh”、“~/.aws”和“~/.gnupg”这样的目录,但允许挂载父目录“/home”或“/var”,从而有效地削弱了单个块的使用。

“将 /home 挂载到你的容器中,你就能读取每个用户的 SSH 密钥、AWS 凭证和 GPG 机密,”Nayak 说。“挂载 /var 就能获得 Docker socket——这意味着完全脱离’沙箱’内部的主机。”

除了将 OpenClaw 更新到最新版本外,建议为所有非主会话启用沙箱模式,将“exec”从面向通道代理的工具允许列表中移除,并监控包含“ext::”外部协议辅助工具的 git 克隆命令,避免被滥用以运行任意系统命令。

OpenClaw表示:“升级前,将受影响功能限制在可信运营商之间,或在不需要时禁用该功能。”“作为一般的加固措施,保持通道和工具允许列表的范围,避免在互不信任的用户之间共享同一个网关,并在不需要时禁用受影响的功能。”