OpenClaw 爆高危漏洞,最低权限就能接管整个公司AI平台

OpenClaw那个号称能帮你管理电脑、自动购物、做研究的AI智能体，最近给所有用户上了一堂生动的安全课：一个最低权限，就能让攻击者拿到你整个公司的数据。

事情是怎么开始的？

OpenClaw去年11月发布，靠着“全自动AI助手”的概念火得一塌糊涂，现在Github上已经有34.7万颗星。它的设计理念就是接管你的电脑，去帮你操作各种应用和平台，比如Telegram、Discord、Slack，还有本地和共享的网络文件。说白了，它要的就是权限，越多越好。

结果，就是这个“要权限”的设计，埋下了大雷。安全研究人员盯上它已经一个多月了，一直在警告使用风险。本周初，OpenClaw的开发团队紧急发布了三个高危漏洞的补丁，其中CVE-2026-33579这个漏洞，让所有安全专家都捏了把汗。

安全团队的原话，比漏洞本身还吓人

AI应用构建商Blink的研究人员直接写了篇文章剖析这个洞，里面的描述相当直白，我们直接看原文引用：

“实际影响非常严重。一个已经拥有operator.pairing权限（OpenClaw部署中最低的有效权限）的攻击者，可以静默批准那些请求operator.admin权限的设备配对请求。一旦批准通过，攻击设备就获得了对该OpenClaw实例的完全管理权限。不需要二次利用，除了最初的配对外不需要任何用户交互。”

这还没完，后面一段更狠，直接定性了：

“对于那些将OpenClaw作为公司级AI代理平台运行的组织，一个被攻陷的operator.admin设备可以读取所有连接的数据源，窃取存储在代理技能环境中的凭证，执行任意工具调用，并横向移动到其他连接的服务。‘权限提升’这个词都低估了它：结果是完全接管实例。”

讲真，看到“完全接管实例”这几个字，但凡在公司里用过这玩意儿的人，后背都得发凉。这已经不是数据泄露了，是直接把整个AI控制权拱手让人。

这事给我们提了个什么醒？

第一，别迷信“星多就是好”。OpenClaw 34.7万星，照样爆出这种史诗级漏洞。开源工具的安全审计和权限模型设计，永远是第一位的。

第二，对于任何要求“广泛权限”的AI工具，尤其是能直接操作你电脑、访问你账号的，一定要保持最高警惕。权限越大，捅的娄子就可能越大。

第三，企业级应用，安全补丁的更新必须第一时间跟上。OpenClaw这次是补丁已经发了，但有多少部署了的企业还没打上？想想就可怕。

留言聊聊
你会因为这次安全事件，彻底放弃使用这类需要高权限的AI智能体工具吗？还是说只要及时打补丁就问题不大？

来源：Ars Technica｜原文：OpenClaw gives users yet another reason to be frea