夜雨聆风
漏洞编号 | 受影响组件 | 漏洞类型 | 攻击向量 |
|---|---|---|---|
CVE-2026-3909 | Skia 2D 图形库 | 越界写入(Out-of-bounds write) | 恶意网页(SVG/Canvas) |
CVE-2026-3910 | V8 JavaScript 引擎 | 不当实现导致越界内存访问 | 恶意 JS 代码 |
CVE-2026-3909 源于 Skia 图形渲染引擎对特定图形操作缺少边界校验
CVE-2026-3910 是 V8 引擎在 JIT 编译或特定 JS 特性实现中的逻辑缺陷
两者组合利用可导致远程代码执行(RCE),突破浏览器沙箱
# 立即更新 Chrome/Chromium# Debian/Ubuntu:sudo apt update && sudo apt install google-chrome-stable# 或使用 openclaw 内置命令检查openclaw browser update# 立即升级 OpenClaw 至 v2026.2.7+openclaw update# 审查 API 配置,确认中转地址可信# 启用命令审批强制人工确认# 审查近期 pip 安装历史pip list --format=freeze > pip-freeze-$(date +%Y%m%d).txt# 对依赖的 GitHub 仓库启用 commit 签名验证# 安装 Skills 前使用 skill-vetter 进行安全审查openclaw skill vet <skill-name>
攻击者部署恶意 API 中转代理(Cloudflare Worker)
拦截发往 OpenClaw 的 POST 请求,在用户消息末尾注入隐藏指令
高性能模型被诱导生成终端命令(如、文件写入)
命令通过 MCP 工具自动执行,用户完全无感知
GitHub 仓库:https://github.com/Named1ess/CVE-2026-30741
演示视频:https://www.bilibili.com/video/BV1LoFazeEBM
POC 类型:Cloudflare Worker(适配 Gemini/OpenAI/Claude 三种 API 格式)
维度 | 评估 |
|---|---|
利用难度 | 🟢 低 — 只需部署中间代理 |
前置条件 | 需诱导用户配置恶意 API 中转地址 |
影响范围 | 🔴 完全接管 — 可执行任意系统命令 |
检测难度 | 🔴 高 — 注入嵌入对话流,用户不可见 |
POC 公开 | ✅ GitHub + B站视频 |
在野利用 | NVD 标注暂无,但 SSVC 标记可自动化利用 |
目标范围: Django 应用、ML 研究代码、Streamlit 仪表板和 PyPI 包
攻击手法: 通过 rebase + force-push 方式篡改代码,保留原始提交信息以隐蔽
时间线: 最早注入追溯至 2026 年 3 月 8 日,3 月 16 日被公开披露
# 审查近期 pip 安装历史pip list --format=freeze > pip-freeze-$(date +%Y%m%d).txt# 对依赖的 GitHub 仓库启用 commit 签名验证# 安装 Skills 前使用 skill-vetter 进行安全审查openclaw skill vet <skill-name>
提示词注入(Prompt Injection)
误删除重要数据
功能插件(Skills)投毒
安全漏洞
67% 的 CISO 表示对组织内 AI 使用缺乏可见性
0% 的受访者拥有完整的 AI 安全可见性
安全团队仍在使用传统工具应对 AI 时代威胁
# 推荐配置logging: level: debug audit_tools: true retention_days: 90
功能模块 | 更新内容 | 安全影响 |
|---|---|---|
Sandbox 后端 | 新增可插拔沙盒后端,支持 OpenShell 和 SSH 后端,新增 | 🟢 提升隔离性 |
Firecrawl 集成 | 新增 Firecrawl 作为搜索提供商,支持 | 🟡 需配置 API 密钥 |
插件市场 | 新增 Claude Marketplace 注册表解析,支持 | 🟡 需验证来源 |
飞书卡片 | 新增结构化交互式审批卡片和快速启动器卡片,支持 | 🟢 无影响 |
命令插件 | 新增 | 🟢 提升可管理性 |
网关健康监控 | 新增可配置的陈旧事件阈值和重启限制,支持 per-channel 覆盖 | 🟢 提升稳定性 |
插件架构重构: OpenRouter、GitHub Copilot、OpenAI Codex 提供商逻辑已移至捆绑插件
渠道抽象优化: 移除传统渠道 shim 目录,渠道特定导入直接指向扩展实现
飞书 ACP 集成: 支持当前对话 ACP 和子代理会话绑定
指标 | 数据 | 置信度 |
|---|---|---|
技能市场 | ClawHub 技能市场正常运行,支持按下载量/更新时间/星级排序 | ✅ 已确认 |
技能上传 | 支持通过 Web 界面上传和导入技能 | ✅ 已确认 |
开源状态 | ClawHub 采用 MIT 开源协议,部署于 Vercel | ✅ 已确认 |
@ngutman - /btw侧边问题命令
@huntharo & @vincentkoc - 插件集成扩展
@Takhoffman - 飞书 ACP 和卡片功能
@day253 - 飞书推理流式渲染
@vincentkoc - 插件市场安装流程
部署方式 | 支持状态 | 文档链接 |
|---|---|---|
Docker Compose | ✅ 官方支持 | docs.openclaw.ai/deployment/docker |
npm 全局安装 | ✅ 官方支持 |
|
GitHub源码部署 | ✅ 官方支持 | github.com/openclaw/openclaw |
阿里云 ECS : 建议使用 Docker Compose 部署,注意开放 18789 端口安全组
腾讯云 Lighthouse: 推荐使用 openclaw update --tag main获取最新修复
宝塔面板: 可通过 Docker 管理器一键部署,需配置反向代理
# 网关配置建议(国内部署)gateway: allowUrl: false # 默认拒绝所有 URL,按需添加白名单 channelHealthCheckMinutes: 30 # 健康检查间隔
功能 | 状态 | 平台 |
|---|---|---|
深色主题自适应 | ✅ 已发布 | Android |
通话记录搜索 | ✅ 已发布 | Android(需权限) |
语音流程优化 | ✅ 已发布 | Android |
节点设备集成 | 🔄 进行中 | Android/iOS |
Chrome 0-Day 是最紧迫威胁 — CVE-2026-3909/3910 正在被积极利用,且 OpenClaw 浏览器工具直接依赖 Chromium。建议所有用户在 24 小时内完成 Chrome 更新,特别是运行 headless Chrome 的服务器。
供应链攻击呈现跨生态蔓延趋势 — GlassWorm/ForceMemo 攻击 Python 仓库,npm cline 包投毒事件,以及 CNCERT 对 OpenClaw Skills 投毒的警告,三者共同指向 AI Agent 生态的供应链脆弱性。建议建立 Skills 安装前的自动化安全审查流程(如 skill-vetter)。
国内监管风险需重视 — CNCERT 风险提示虽未公开详细技术细节,但"银行和国企不得安装"的传闻若属实,将显著影响 OpenClaw 在国内企业市场的渗透。建议国内用户优先采用私有化部署,避免使用公有云服务。
插件架构重构是双刃剑 — 将提供商逻辑移至捆绑插件提升了模块化程度,但也增加了供应链攻击面。建议官方建立插件签名验证机制。
移动端进展滞后于服务端 — Android 端仅有深色主题等 UI 优化,缺乏核心功能创新。对比 Aider 等竞品的终端集成能力,OpenClaw 移动端需加速迭代。