乐于分享
好东西不私藏
夜雨聆风 > > 办公文件 > OpenClaw Agent Platform 任意代码执行漏洞(CVE-2026-30741)通告

OpenClaw Agent Platform 任意代码执行漏洞(CVE-2026-30741)通告

当前时间: 2026-03-18 22:50:53 分类:办公文件 评论(0)
OpenClaw Agent Platform 任意代码执行漏洞(CVE-2026-30741)通告
01
漏洞综述
漏洞背景
OpenClaw Agent Platform 是一个用于自动化任务处理和 AI 模型协同工作的智能代理平台,支持通过 API 请求链路驱动多模型协作与命令执行。近日,新华三盾山实验室监测到 OpenClaw 官方披露了一个远程代码执行漏洞 (CVE-2026-30741) ,其 CVSS3 漏洞评分为 9.8 。
 漏洞详情
该漏洞为请求侧提示注入(Request-Side Prompt Injection )导致的远程代码执行漏洞。由于系统未对上游API 请求内容进行完整性校验,攻击者可通过构造恶意请求实现请求流投毒,诱导高性能AI 模型生成未经授权的终端命令,并通过MCP 工具链自动执行,从而在目标系统上执行任意代码,无需用户交互或特权权限。由于漏洞影响范围较大,建议用户尽快更新至最新版本。
02
影响范围
OpenClaw Agent Platform v2026.2.6 及更早版本
03
严重等级

威胁等级

严重

影响程度

广泛

利用价值

利用难度

漏洞评分

9.8

04
处置方法
缓解措施
立即检查并升级至 OpenClaw Agent Platform 最新版本;禁用非必要的 API 接口;对所有上游 API 请求增加签名验证与内容完整性校验;部署 Web 应用防火墙( WAF )规则检测异常提示注入行为。
05
参考链接
  • https://nvd.nist.gov/vuln/detail/CVE-2026-30741
  • https://github.com/Named1ess/CVE-2026-30741
  • https://github.com/OpenClaw/OpenClaw