OpenClaw WebSocket共享令牌权限提升漏洞安全风险通告OpenClaw凭借其丰富的功能和灵活性,在2026年成为开源人工智能代理生态系统中的明星项目。作为一个聊天机器人平台,OpenClaw允许用户通过Web界面或即时通讯平台下达自然语言指令,完成邮件管理、日历调度、浏览器自动化、文件操作以及 shell 命令执行等高权限任务。近日,国内安全厂家监测到官方修复OpenClaw WebSocket共享令牌权限提升漏洞,该漏洞存在于OpenClaw网关的WebSocket连接处理逻辑中。在2026.3.12版本之前,当使用无设备共享令牌或密码认证的后端连接时,系统未能正确验证和限制客户端自行声明的权限范围,攻击者可利用该漏洞,通过获取或构造无设备共享令牌,在WebSocket连接建立时自行声明高权限作用域,从而绕过正常的权限控制机制。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
一、 漏洞影响范围
二、 漏洞修复建议
https://github.com/openclaw/openclaw
夜雨聆风