OpenClaw最新完整漏洞,实时可查!(附高危列表)

据媒体报道，由于OpenClaw智能体项目集中爆发漏洞太多（Github直接发布漏洞安全通告），导致CVE编号机构已来不及编号，存在较大的风险盲区。

为此，微步在线漏洞情报已对全网OpenClaw漏洞进行覆盖，并实时收录更新。用户当前通过微步安全情报社区X及下一代威胁情报平台NGTIP即可查询最新完整OpenClaw漏洞情报。此外，针对近期OpenClaw漏洞攻击情况，微步情报局也进行梳理，供各位师傅参考：

整体漏洞分布：

截至2026年3月19日，根据微步情报局统计，并基于漏洞VPT（Vulnerability Prioritization and Threat）评估模型，从威胁情报、攻击热度等不同维度综合评估，OpenClaw漏洞不同危险等级占比如下：

当前，OpenClaw大多数漏洞被评定为低风险，此类漏洞实际利用价值较低或利用条件比较苛刻，仅有3个高风险漏洞（XVE-2026-2113、XVE-2026-7112、XVE-2026-7922），存在公开POC且能稳定复现，需重点关注。

此外，存在部分VPT评估低风险但CVSS高危/严重的漏洞，这类漏洞虽然技术危害较高，但由于利用条件苛刻或缺乏公开利用代码，实际威胁较低，建议结合微步VPT评估模型和CVSS综合判断漏洞优先级。

漏洞类型分布：

基于微步漏洞情报局统计与分析，OpenClaw漏洞攻击主要呈以下分布:

其中，命令注入最多，占比高达21%，显示自托管类AI助手在Shell执行、文件处理、插件/扩展加载上存在明显的设计缺陷。紧随其后的，则是未授权访问和权限提升类漏洞，表明当前AI智能体访问控制机制存在较多缺陷。

需要注意的是，大多数漏洞仅影响特定部署，例如启用插件、暴露Webhook，共享主机，默认环回绑定+认证令牌可降低远程利用概率。

OpenClaw版本漏洞情况：

2026年2月到3月期间，是OpenClaw漏洞修复的高峰期，其2026.2.14版是漏洞修复最多的版本，达到38个漏洞，该版本进行了大规模的安全加固。其次则是OpenClaw 2026.2.22版，修复漏洞数33个。

以下为按版本号排序的各版本漏洞修复统计（截止20260313版本）：

安全建议：

当前，OpenClaw整体安全风险集中于提示词注入攻击、供应链攻击（恶意Skills/插件）、配置不当导致的未授权访问、工具权限滥用、Webhook 与沙箱边界等方面。虽然OpenClaw漏洞整体数量较多，但影响主要为较早期版本，随着整体安全态势持续改善，最新版本已大幅收敛漏洞面。

针对OpenClaw可能存在的风险，建议所有用户：

1、定期更新。关注OpenClaw漏洞信息，重点关注高风险（公开POC或在野利用行为）漏洞，及时升级到最新版本。

2、启用认证机制，避免未授权访问。

3、网络隔离。将OpenClaw网关部署在受保护的网络环境中。

4、最小权限原则。限制Docker容器权限，避免沙箱逃逸。对所有外部输入（包括 WebSocket、API请求）进行严格的访问控制限制。

5、结合官方SECURITY.md信任模型配置部署，未来需持续关注插件扩展与Webhook模块的安全边界。

附OpenClaw高危漏洞统计：

有公开 POC：

CVSS 严重级别漏洞清单，共11个严重级别漏洞：

上述漏洞虽然官方评级较高，但由于没有公开PoC/在野利用行为，风险较为可控。

欢迎扫码试用

↓↓↓