夜雨聆风更多安全资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站(adlab.venustech.com.cn)
OpenClaw 凭借其丰富的功能和灵活性,在2026年成为开源人工智能代理生态系统中的明星项目。作为一个聊天机器人平台,OpenClaw允许用户通过Web界面或即时通讯平台下达自然语言指令,完成邮件管理、日历调度、浏览器自动化、文件操作以及 shell 命令执行等高权限任务。
漏洞描述
Gateway是OpenClaw的核心服务,负责管理所有消息通道、会话调度和Agent编排,对外提供WebSocket API。Node是连接到Gateway的终端设备(如:macOS/iOS/Android 应用或命令行进程),为系统提供本地执行能力,包括运行Shell命令、操控浏览器、访问摄像头等设备功能。Gateway通过node.invoke将执行请求发送到目标Node,Node在本地完成执行后将结果回传给Gateway,整个过程通过WebSocket的请求-响应机制完成。
影响版本
OpenClaw<2026.2.14
漏洞原理
该漏洞的根因在于从Gateway到Node的整条调用链路上,均未对用户可控的参数字段进行校验或过滤。
(1)Gateway端:原样转发,不过滤内部字段
Gateway的node.invoke处理函数将客户端传入的params直接传递给nodeRegistry.invoke(),未做任何字段剥离。
(2)Node Registry:序列化后直接发送
params被序列化为paramsJSON后直接通过WebSocket发送给Node,同样没有过滤。
(3)Node端:直接信任params中的审批字段
Node反序列化后的参数中包含审批控制字段,审批判断逻辑直接读取该字段且无任何来源验证。当该字段被设为通过状态时,审批检查和白名单校验均被跳过,命令直接执行,用户不会看到任何审批提示。
漏洞危害
该漏洞允许任何经过Gateway身份认证的用户在未经Node主机所有者批准的情况下,远程执行任意Shell命令。攻击者可借此:
完全控制Node设备:读取、篡改或删除 Node 主机上的任意文件。
窃取敏感数据:获取Node设备上的凭据、密钥、隐私文件等。
横向移动:以Node主机为跳板,进一步渗透所在网络的其他系统。
持久化驻留:植入后门程序或定时任务,维持对Node设备的长期访问。
漏洞复现
安全建议
(1)立即升级
OpenClaw官方已发布安全通告并发布了修复版本,请尽快升级至最新版本。
(2)临时缓解措施
确认Gateway未暴露到公网:Gateway默认仅监听本机(127.0.0.1),确认启动参数中未使用将端口暴露至外部网络的配置。
审查历史执行记录:排查Node主机上是否存在异常的system.run调用,重点关注未经正常审批流程、直接携带approved: true的请求。
最小权限运行:以最低必要权限运行Node进程,避免使用root或管理员账户,降低命令执行后的影响范围。
[1]https://github.com/advisories/GHSA-gv46-4xfq-jv58
[2]https://nvd.nist.gov/vuln/detail/CVE-2026-28466
启明星辰积极防御实验室(ADLab)
ADLab成立于1999年,是中国安全行业最早成立的攻防技术研究实验室之一,微软MAPP计划核心成员,“黑雀攻击”概念首推者。截至目前,ADLab已通过 CNVD/CNNVD/NVDB/CVE累计发布安全漏洞7000余个,持续保持国际网络安全领域一流水准。实验室研究方向涵盖基础安全研究、电信运营商基础设施安全研究、移动终端安全研究、云安全研究、信创安全研究、物联网安全研究、车联网安全研究、工控安全研究、数据安全研究、5G安全研究、AI安全研究、卫星安全研究、低空安全研究、高级威胁研究、攻防体系建设。研究成果应用于产品核心技术研究、国家重点科技项目攻关、专业安全服务等。
