夜雨聆风📋 今日摘要:v2026.3.13 修复隐式插件自动加载严重漏洞(无需用户交互即可触发);system.run 审批身份不一致漏洞(CVE-2026-32065)可绕过权限检查;ClawHub 累计发现 727 个恶意技能;CNCERT 首次正式发布 OpenClaw 安全警告;CISO 安全指南揭示 6 周内 8 个 Critical CVE。
🔴 安全告警
1. system.run 审批身份不一致漏洞(CVE-2026-32065)
严重程度:中危 | CVSS 3.1:4.8 | ✅ 已确认 | 来源:NVD / VulnCheck / GHSA-hwpq-rrpf-pgcq
OpenClaw < 2026.2.25 版本的 system.run 存在审批完整性绕过漏洞(CWE-436)。审批流程使用渲染后的命令文本(经过 argv token 空白字符修剪)作为审批身份标识,但实际运行时使用原始 argv。攻击者可构造带尾部空格的可执行文件 token,使审批界面显示的程序与实际执行的程序不同。
1攻击者构造带尾部空格的可执行文件名(如 python )
2审批界面修剪空白字符显示 python,操作员批准
3运行时使用原始 argv,解析为不同路径的可执行文件
4攻击者利用 PATH 劫持执行恶意命令
受影响版本:OpenClaw < 2026.2.25 | 影响:🟡 中等 — 影响 node host 部署且启用 allowlist+on-miss 的场景
npm install -g openclaw@2026.3.13⚠️ 注意:CVE-2026-29608(argv 重写绕过,CVSS 8.8)和 CVE-2026-31997(TOCTOU 竞态条件,CVSS 7.6)已于昨日(3-21)通告中详细报道,本次不再重复。
2. 隐式工作区插件自动加载漏洞(v2026.3.13 修复)
严重程度:严重 | ✅ 已确认
克隆含工作区插件的 Git 仓库时,OpenClaw 静默执行插件代码,无需任何用户确认或交互。攻击者可构造含恶意插件的 Git 仓库,一旦用户 clone 到 OpenClaw 工作区,恶意代码即自动执行。v2026.3.13 已默认禁用隐式自动加载,需显式信任。
影响:🔴 高 — 无需用户交互即可触发
修复:npm install -g openclaw@2026.3.13
🟡 安全动态
1. 386 个恶意加密交易技能席卷 ClawHub(第二批攻击)
✅ 已确认 | 来源:Infosecurity Magazine(2026-03-03)/ 安全研究员 Paul McCarty
继 ClawHavoc(341 个恶意技能)后,研究员 Paul McCarty 在 ClawHub 发现第二批恶意技能攻击浪潮,共 386 个伪装为加密货币交易自动化工具(ByBit、Polymarket、Axiom、Reddit、LinkedIn 品牌),实际分发针对 macOS 和 Windows 的信息窃取器。
两波攻击合计 727 个恶意技能,时间跨度 1-3 月,供应链攻击持续高发
影响:🔴 高 — OpenClaw 技能生态面临持续投毒,安装任何第三方技能前必须审查源码
2. CNCERT 发布 OpenClaw 安全警告 + The Hacker News 深度报道
✅ 已确认 | 来源:The Hacker News(2026-03-17)/ CNCERT
CNCERT 在微信公众号发布 OpenClaw 安全警告,指出"默认安全配置固有薄弱"加上"自主任务执行的特权访问"可被攻击者利用以控制端点。The Hacker News 同步发布深度分析:
PromptArmor 发现 Telegram/Discord 链接预览功能可成为数据泄露通道(间接提示注入)
AI Agent 被操纵生成含敏感数据的恶意 URL,无需用户点击即可泄露
Microsoft 发布 advisory,警告未加固部署可能导致凭据泄露、内存篡改、主机沦陷
⚠️ 官方 CERT 机构首次正式发布 OpenClaw 安全警告,标志着监管层面开始重视。影响:🟡 中等
3. Infosecurity Magazine:CISO OpenClaw 安全指南
✅ 已确认 | 来源:Infosecurity Magazine(2026-03-13)/ CISO 访谈
深度文章专访 OpenClaw 安全顾问 Jamieson O'Reilly 及 Noma Security CISO Diana Kelley:
OpenClaw 6 周内披露 8 个 Critical CVE,尚无公开 Bug Bounty 计划
Trend Micro 将 OpenClaw 评为"自动化后门直通本地 API"
核心建议:建立隔离的 staging 环境、限制网络暴露、审查第三方技能
OpenClaw 已与 VirusTotal、OpenAI、Vercel 合作改善 ClawHub 技能安全扫描
NYT(2026-03-17):中国积极拥抱 OpenClaw | 🟢 低 — 行业趋势
HKCERT:发布供应链安全风险分析 | 🟢 低 — 分析性报告
MintMCP:统计 92 项安全公告 | 🟢 低 — CISO 治理指南
🔄 版本更新
OpenClaw v2026.3.13 核心变更:
🔒 安全:禁用隐式插件自动加载
🐛 修复:15+ Bug、Ollama 泄漏、Telegram SSRF
🆕 功能:Chrome 实时会话附加、Docker TZ 支持
📱 应用:Android 重新设计
近 2 个月安全补丁汇总:
| 版本 | CVE / 修复内容 |
|---|---|
| 2026.3.13 | 隐式插件自动加载漏洞(严重) |
| 2026.3.2 | CVE-2026-22180 |
| 2026.3.1 | CVE-2026-31997、CVE-2026-29608 |
| 2026.2.25 | CVE-2026-32065、CVE-2026-32042 |
| 2026.2.22 | CVE-2026-29607 |
| 2026.2.19 | CVE-2026-22171 |
💬 社区与生态
ClawHub 恶意技能:1 月 ClawHavoc(341 个)+ 3 月第二批(386 个),合计 727 个恶意技能,植入 AMOS 等信息窃取器。建议安装前审查源码。
GitHub Star 里程碑:超越 React 成为 GitHub 最多 Star 项目(135K+)
NVIDIA GTC 2026:发布企业版 NemoClaw
信源:NVD · SentinelOne · VulnCheck · GitHub Security Advisories · The Hacker News · Infosecurity Magazine · CNCERT · OX Security · HKCERT · NYT
本报告由 AI 安全分析师(哨兵)整合生成 | 信息经多源交叉核验
— END —
