夜雨聆风“我只是点击了一个看起来正常的网页链接,什么都没发生。第二天发现,我的OpenClaw在凌晨3点自己执行了一堆命令,API密钥全被换了。”
这不是科幻小说,而是CVE-2026-25253漏洞的真实攻击场景。攻击者只需要诱导你访问一个恶意网页,就能通过你本地的浏览器,把你的OpenClaw认证令牌偷走,然后完全控制你的AI代理。
01 触目惊心的OpenClaw漏洞现状
漏洞统计:82个CVE,33个高危
根据深信服千里目安全技术中心的统计,截至2026年3月11日,OpenClaw已披露漏洞数量82个,其中高危漏洞33个、中危漏洞47个、低危漏洞2个。
更让人心惊的是,SecurityScorecard的统计显示,公网上可被探测到的OpenClaw暴露实例累计超过46.9万个(活跃数量20.3万个)。其中,通过版本匹配检测发现,27.2%的实例存在高危漏洞,面临被利用攻击风险。
国家网络安全通报中心警告:这些漏洞的利用难度普遍较低,攻击者可直接实现未授权远程代码执行,对企业和个人数据安全、系统运行造成严重威胁。
最致命的“一键控制”:CVE-2026-25253
这个漏洞的CVSS评分高达8.8(满分10分),属于“严重”级别。它的工作原理简单得令人后怕:
OpenClaw的Control UI模块会从网页URL的查询参数中读取一个叫gatewayUrl的地址,然后自动向这个地址建立WebSocket连接,并在连接时把你的认证令牌一起发送过去。关键是,浏览器不对WebSocket连接执行同源策略——这意味着任何恶意网页都可以做这件事。
攻击者构造一个恶意网页,诱骗你点击。你的浏览器在毫秒级内把你的认证令牌传给了攻击者的服务器。攻击者用这个令牌建立连接,先关闭沙箱,再让OpenClaw在宿主机上执行任意命令。一整套攻击链,你甚至感觉不到。
这个漏洞在2026年1月29日被修复,但截至3月中旬,仍有大量用户未升级到安全版本。
命令注入三兄弟:CVE-2026-25157、CVE-2026-24763、CVE-2026-25475
如果说第一个漏洞需要你“点一下”,那这三个漏洞连点都不用点。
CVE-2026-25157:OpenClaw的某个API端点对传入参数不做过滤,攻击者可以直接向这个API发送包含恶意命令的请求,参数被直接解析执行。
CVE-2026-24763:恶意插件可以突破沙箱限制,向执行接口注入系统命令,直接在宿主机上执行。
CVE-2026-25475:这个漏洞更“聪明”。OpenClaw错误地信任所有来自localhost的连接,认为“本地的肯定没问题”。攻击者在目标设备上放一个恶意网页,通过JavaScript在本地发起WebSocket连接,利用localhost的“免检”身份绕过所有认证。这个漏洞已经发现在野利用。
这三个漏洞的修复版本同样是v2026.1.29及以后。
跨域重定向与仪表盘信息泄露
GHSA-6mgf-v5j7-45cr(CVSS 7.5):OpenClaw的fetch-guard组件在处理跨域重定向时,会把自定义的授权请求头直接转发给重定向目标地址。攻击者构造一个恶意重定向链接,诱导你访问,你的授权凭证就被转发到攻击者服务器了。
GHSA-rchv-x836-w7xp(CVSS 7.1):OpenClaw的管理仪表盘把网关认证信息通过URL查询参数和localStorage传输和保存,而且是明文!攻击者只要有机会接触你的设备(或者通过XSS漏洞),就能直接从浏览器历史或本地存储里把认证材料拿走。
这两个漏洞在v2026.3.7版本中修复。
02 OpenClaw高危漏洞避坑指南
必须升级到最新版本
v2026.1.29修复了最早一批高危漏洞,v2026.2.1修复了MS Teams信息泄露,v2026.3.7修复了跨域重定向等8个漏洞,v2026.3.11修复了令牌权限提升漏洞。工信部NVDB建议:从官方渠道下载最新稳定版本,开启自动更新提醒。
必须收紧网络暴露
工信部明确要求:严格控制互联网暴露面,定期自查是否存在互联网暴露情况,不要将OpenClaw实例暴露到互联网。如果确实需要远程访问,使用VPN或SSH隧道,并限制访问源IP。
必须启用身份认证
默认配置下,OpenClaw可能以管理员权限运行,且无密码保护。务必在配置中设置强密码,有条件的启用双因素认证。
必须坚持最小权限原则
工信部强调:根据业务需要授予完成任务必需的最小权限,对删除文件、发送数据、修改系统配置等重要操作进行二次确认或人工审批。不要在部署时使用管理员权限账号。
往期精彩回顾
《“养虾人”注意:OpenClaw口头指令不能代替书面指令》
本文作者:
