夜雨聆风📋 今日摘要:本周 OpenClaw 新增 4 个 CVE(含 2 个 RCE),system.run 审批机制存在设计缺陷;ClawHub 恶意技能供应链攻击持续活跃;伪造 CLAW 代币钓鱼攻击针对 GitHub 开发者。建议立即升级至 ≥ 2026.3.2。
🔴 安全告警(高优先级)
CVE-2026-29608 / CVE-2026-31997:system.run 审批绕过致 RCE
披露日期:2026-03-20 | 来源:SentinelOne | 影响:2026.3.1 及更早版本
SentinelOne 于 3 月 20 日披露两个高危 RCE 漏洞,均针对 OpenClaw 的 system.run 审批机制。
CVE-2026-29608(argv 重写):攻击者在操作员批准命令后,通过在工作目录放置恶意同名脚本,利用 argv 重写改变命令语义,绕过审批执行任意代码。
CVE-2026-31997(TOCTOU 竞态):审批机制存在检查-使用时间差(CWE-367),对非绝对路径命令依赖执行时 PATH 解析,攻击者可在批准与执行间替换可执行文件。
攻击路径:操作员批准命令 → argv 重写或 PATH 替换 → 恶意脚本以已审批权限执行 → 主机被完全控制 ✅已确认
🔴 新增 CVE 汇总
| CVE | 类型 | 日期 | 状态 |
|---|---|---|---|
| CVE-2026-29608 | RCE (argv 重写) | 03-20 | 2026.3.2 修复 |
| CVE-2026-31997 | RCE (TOCTOU) | 03-20 | 2026.3.2 修复 |
| CVE-2026-32004 | 认证绕过 | 03-19 | 2026.3.2 修复 |
| CVE-2026-22180 | 路径逃逸 | 03-17 | 2026.3.2 修复 |
🟡 安全动态
ClawJacked(CVE-2026-25253, CVSS 8.8)持续影响
Oasis Security 披露的 ClawJacked 漏洞利用 localhost WebSocket 信任缺陷,允许恶意网站静默劫持本地 AI Agent。攻击者可无感知地进行密码爆破、会话劫持、凭据窃取和任意命令执行。该漏洞位于 OpenClaw 核心网关,无需任何插件即可被利用。✅已确认
超过 40,000 台公网实例暴露,大量未更新至 2026.2.26
修复版本:≥ 2026.2.26
ClawHavoc 恶意技能供应链攻击
Koi Security 发现 ClawHub 上 341 个恶意技能(335 个属 ClawHavoc 统一行动),伪装为加密货币钱包、交易机器人和 YouTube 工具,实际分发 Atomic Stealer (AMOS) macOS 窃取器。C2 服务器:91.92.242[.]30。✅已确认
窃取目标:加密资产 API 密钥、钱包私钥、SSH 凭据、浏览器密码
OpenClaw 已与 VirusTotal 合作扫描 ClawHub 技能
伪造 CLAW 代币钓鱼攻击
攻击者创建虚假 GitHub 账号,@数十名 OpenClaw 开发者,声称其赢得 5,000 美元 CLAW 代币,诱导访问 openclaw.ai 克隆钓鱼网站进行钱包连接。虚假账号在攻击后数小时内删除。✅已确认
🔄 版本更新
1OpenClaw ≥ 2026.3.2 — 修复本周全部 4 个 CVE,建议所有用户立即升级
2近期活跃开发:媒体运行时加固(3/17)、内存泄漏检测工具链(3/19)、CI 优化(3/20)
💬 社区与生态
Infosecurity Magazine 发表《What CISOs Should Know About OpenClaw》
Trend Micro 发布《CISOs in a Pinch: A Security Analysis of OpenClaw》
CNCERT 发布 OpenClaw 默认配置安全警告
社区 OpenClaw CVE 跟踪仓库 持续更新
📌 行动建议:立即升级至 OpenClaw ≥ 2026.3.2;审查 ClawHub 已安装技能;禁用默认 0.0.0.0 绑定,限制网关仅内网访问;启用 Telegram/Discord 两步验证。
数据来源:SentinelOne、NVD、SecurityWeek、The Hacker News、BleepingComputer、Trend Micro、Oasis Security、Koi Security
— END —
