安全圈炸锅:「你的 AI agent 正在被反过来利用」
5 月 15 日,知名安全媒体 The Hacker News 在 X 上发出了一条措辞极为直白的警告:
"Claw Chain turns your AI agent against you: No credentials needed."
「Claw Chain 让你的 AI agent 反过来对付你:无需凭证。」

▲ The Hacker News 推文警告 Claw Chain 漏洞,2.6 万次查看
这条推文直接点名了CVE-2026-44118——攻击者可以伪造 `senderIsOwner` 标志,从而获得 owner 控制权。再配合 TOCTOU 沙箱逃逸和 heredoc 注入,就能实现数据窃取和持久化驻留。
推文最后四个字:Update NOW.
OpenClaw 是什么?为什么它的漏洞这么危险?
OpenClaw 是一个将大语言模型(LLM)连接到文件系统、SaaS 应用、凭证存储和执行环境的 AI agent 平台,广泛用于 IT 自动化、客服系统和业务流程集成。
关键在于——这类平台赋予了 AI agent真实的操作权限:读写文件、调用 API、管理凭证、执行命令、操控调度任务。
一旦这些权限的边界出现裂缝,agent 就会从「帮你干活的助手」变成「替攻击者干活的内鬼」。
而 Claw Chain 撕开的,恰恰就是这道边界。
四个漏洞,一条攻击链
安全公司 Cyera 在 5 月 15 日发布了详细的研究报告,将这组漏洞命名为Claw Chain。

▲ Cyera Research 发布 Claw Chain 研究报告,披露四个可链式利用的 OpenClaw 漏洞
四个 CVE 分别对应不同的攻击面:
- CVE-2026-44112
(CVSS 9.6 CRITICAL):沙箱逃逸——OpenClaw 管理的沙箱存在 TOCTOU(time-of-check/time-of-use)竞态条件,攻击者可绕过沙箱限制,在沙箱外读写文件。 - CVE-2026-44113
(CVSS 7.5 HIGH):同样是 TOCTOU 问题,攻击者可绕过沙箱限制,在受保护目录外读取文件。 - CVE-2026-44115
(CVSS 8.1 HIGH):命令注入——对 heredoc 输入的校验不完整,攻击者可注入未经审查的命令。 - CVE-2026-44118
(CVSS 7.8 HIGH):owner 身份伪造——MCP loopback 路径接受可被伪造的 owner-context metadata,非 owner 的 loopback 客户端可以冒充 owner 执行高权限操作。
Cyera 的措辞意味深长:
"AI agents have become a primary execution surface, and the security model around them has not caught up."
「AI agent 已成为主要的执行面,但围绕它的安全模型还没跟上来。」
CVE-2026-44118 深挖:一个标志位,撕开整条信任链
四个漏洞中,CVE-2026-44118 最值得拆开来看。
GitHub Advisory 的描述非常精准:
"The loopback MCP path accepted spoofable owner-context metadata from request headers, which could allow a non-owner loopback client to present itself as owner for owner-gated operations."
「MCP loopback 路径从请求头中接受了可被伪造的 owner-context metadata,导致非 owner 的 loopback 客户端可以在 owner-only 操作中冒充 owner。」
翻译成大白话:OpenClaw 的内部通信机制(MCP loopback)在判断「谁是 owner」时,依赖的是请求头里的一个字段——`senderIsOwner`。而这个字段,可以被伪造。
就好比一栋大楼的门禁系统,判断你是否是业主的方式是看你胸口贴的标签。任何人撕一张标签贴上去,就能以业主身份进出所有区域。

▲ GitLab Advisory 显示 CVE-2026-44118 影响所有 2026.4.22 之前的版本,CVSS 7.8 HIGH
需要说明的是:这个漏洞的利用场景有前提条件。根据 NVD 和 GitHub 的 CVSS 向量,攻击向量为本地(Local),所需权限为低(Low)。CVEFeed 也明确标注 "Remotely Exploit: No"。

▲ CVEFeed 显示 CVE-2026-44118 非远程利用,Base Score 8.3
所以,这个漏洞的核心威胁场景是 agent-mediated(由 agent 介导的攻击)——攻击者通过 prompt injection、恶意插件或供应链输入,让已经在运行的 agent 去触发这条链路。Agent 已经在本地环境中,已经有 loopback 访问权限,而身份校验又形同虚设——组合起来,就是完整的越权链条。
修复方案:从「你说你是谁」到「token 证明你是谁」
OpenClaw 官方在2026.4.22 版本中修复了全部四个漏洞。
GitHub Advisory 描述了 CVE-2026-44118 的修复原则:
"The MCP loopback runtime now issues separate owner and non-owner bearer tokens and derives senderIsOwner exclusively from which token authenticated the request."
「修复后的 MCP loopback runtime 会分别签发 owner 和 non-owner 的 bearer token,`senderIsOwner` 只从已认证的 token 推导,不再信任请求头中的 sender-owner 字段。」
修复思路很清晰:身份断言必须来自认证上下文,不能来自请求方自己的声明。
Fix commit(`3cb1a56`)已包含在公开的 v2026.4.22 tag 中,npm package 已更新并通过了针对性回归测试。

▲ The Hacker News 报道:四个 OpenClaw 漏洞可实现数据窃取、权限提升和持久化
影响规模:Cyera 估计超 18 万实例暴露在公网
Cyera 在报告中给出了一组估算数据:
- Shodan 搜索
:约 65,000 个公网可见的 OpenClaw 服务实例 - Zoomeye 搜索
:约 180,000 个
需要强调:这些数字来自 Cyera 的搜索引擎估计,代表的是「公网可达的 OpenClaw 实例数量」,不代表「已被攻击或接管的数量」。但它至少说明了一个事实——大量 OpenClaw 部署暴露在公网上,且其中相当一部分可能仍在运行未修复的版本。
社区反应:安全从业者直指设计缺陷
推文发出后,安全社区的讨论迅速展开。
开发者 @cdiamond 的评论切中要害:`senderIsOwner` 这种信任断言(trust assertion),不应该和请求载荷放在同一个通道里。身份和权限的判断,必须由可信的认证上下文派生,不能让请求方自己"宣告"自己的身份。
@bygregorr 更直接——光看这个字段的命名方式(`senderIsOwner`),就能闻到设计直觉上的风险。把一个布尔值当成权限判据,还放在可控输入里,几乎是在邀请攻击者伪造。
@shanemilburn 则提醒:OpenClaw 已经有比 2026.4.22 更新的版本发布,建议生产环境不要只升到修复版本的最低线,而是跟进当前最新的安全版本。
给所有 OpenClaw 用户的防御清单
立即行动:
- 确认版本
:检查你的 OpenClaw npm package 或容器镜像版本,如果低于 2026.4.22,立即升级 - 启用依赖扫描
:在 GitHub/GitLab/Dependabot 中监控 GHSA-r6xh-pqhr-v4xh 以及相关的四个 CVE - 跟进最新版本
:如果维护者已发布比 2026.4.22 更新的稳定版,优先采用最新安全版本
架构层面自查:
审计所有 owner-gated operations 的调用来源和日志,包括网关配置、定时任务、执行环境管理等高权限动作 - 永远不要信任 loopback、header、插件输入或 prompt 派生字段作为身份依据
——权限必须来自认证上下文和最小权限策略 关注异常信号:非预期的配置变更、调度变更、文件访问模式变化、密钥和凭证的异常调用
更大的问题:Agent 时代的安全模型远没准备好
Claw Chain 的价值远超这四个 CVE 本身。
它给整个 AI agent 安全领域提供了一个清晰的威胁模型:Agent 天然拥有自动化操作权限——读文件、调 API、管理凭证、执行命令。如果攻击者能通过恶意输入、插件或供应链让 agent 接触到有害内容,再叠加不严密的沙箱隔离、命令校验或身份派生机制,agent 的「合法能力」就会变成攻击者的横向移动和持久化工具。
仅靠 prompt 层面的过滤远远不够。Agent runtime 必须被当作服务端执行面来对待:权限最小化、强认证、token 绑定、loopback 通道零信任、文件系统隔离、owner-gated 操作审计——这些都需要进入安全基线。
AI agent 越强大,它被利用时造成的伤害就越大。这才是 Claw Chain 真正敲响的警钟。
— END —
夜雨聆风