夜雨聆风上周 OpenClaw 推送了紧急安全更新,修复了两个漏洞:一个命令注入,一个认证绕过。
如果你正在用 OpenClaw,今天花五分钟检查一下版本。
第一个漏洞:命令注入
命令注入是什么意思?就是你让 OpenClaw 执行某个操作,它被人利用去执行了你不想让它执行的系统命令。
比如你让它帮你整理文件夹,它被人利用去删除了系统文件。
这种漏洞在快速迭代的开源软件里并不罕见。OpenClaw 本身更新速度快,功能加得多,安全审计有时候会跟不上。
但这个漏洞本身被修复了,版本更新到了安全版本。你只需要确认你的版本是最新的就行。
第二个漏洞:认证绕过
认证绕过更麻烦一些。它意味着在某些情况下,OpenClaw 的身份验证机制可以被绕过,没有正确授权的人可能访问到本来应该受保护的内容。
如果你把 OpenClaw 接入了敏感数据源或者生产环境,这个漏洞需要认真对待。
OpenClaw 官方已经发布了修复版本。但关键问题是:开源软件的漏洞修复是透明的,但用户的升级是滞后的。
有一个事实你应该知道
开源软件的漏洞修复是公开的,所有人——包括想利用它的人——都知道漏洞在哪、怎么触发。
所以当你看到"OpenClaw 修复了漏洞"这条新闻时,思考路径应该是:
漏洞已公开 → 利用方法已知 → 未升级的用户全部处于危险中
这和闭源软件不一样。闭源软件的漏洞只有开发公司知道,用户感知不到。开源软件的漏洞是公开的,谁都能研究。
用开源工具,享受透明的好处,也要承担透明的风险:升级必须及时。
怎么检查自己的版本
一个命令:
openclaw --version
如果是旧版本,一条命令升级:
openclaw upgrade
升级完成再确认一次版本号,确保是真的升级了。
关于快速迭代和安全债
OpenClaw 是一个快速迭代的工具。新功能一直在加,更新频率非常高。
这种迭代速度对用户来说是好事:功能越来越强,bug 越来越少。
但代价是安全债。每一轮快速迭代,都可能在某个角落埋下新的风险。安全审计永远落后于功能开发。
这不是 OpenClaw 独有的问题,所有快速迭代的开源工具都有这个问题。
作为用户,你能做的是:不要忽略安全更新推送,及时升级。
一个判断
用开源工具的好处是透明,你能看到它怎么工作的。但透明也意味着漏洞是公开的。
所以用开源工具的人,有一个额外的责任:保持更新。
闭源软件你可以"不升级也能用"。开源软件不升级,就是在用已知漏洞跑。
这不是吓你,这是开源生态的现实。
📌 今日踩坑总结:
OpenClaw 两个安全漏洞已修复,赶紧检查自己的版本 开源软件漏洞公开,升级必须及时 用 openclaw --version检查,用openclaw upgrade升级
如果你也在深夜折腾AI,关注「深夜开发者LND」。 我先踩坑,你少走弯路。
我正在用 AI 团队帮自己跑一家一人公司:
内容助理——每天自动选题、写稿、配图、发布
竞品研究员——监控同行动态,有爆款立刻通知我
选题情报官——搜热点、整理行业资讯,每天推到手机
接下来还会加入:
编程搭档——帮我写代码、审 PR、跑测试
理财观察员——监控市场信号、整理投资信息
健康管家——追踪作息、提醒运动、记录身体数据
个人助理——日程管理、信息整理、帮我记住所有事
这些"员工"24 小时在线,不请假,不要管理,每天成本不到你一杯咖啡。
工具叫 OpenClaw,开源免费,人人都能养。
如果你也想搭一支自己的 AI 小队,加我微信聊聊。
备注「小龙虾」
【微信二维码图片由旭手动插入草稿箱,002无需处理】
