夜雨聆风
AI插件生态高速扩张,安全风险再次刷新认知!攻击者仅需一条恶意请求,就能绕过插件所有校验,直接窃取核心Token、横向移动Google Workspace、注入环境变量直达远程代码执行。更可怕的是,这种组合漏洞从开源组件底层爆发,影响范围覆盖服务器、容器集群、开发环境、CI/CD流水线,几乎无人能幸免。传统的插件安全审核机制,还能跟上这场AI生态风暴吗?
近日,天翼安全科技有限公司水滴实验室率先捕获并独家披露重磅高危漏洞预警:openclaw-google(Civic Google Credentials Extension)插件存在高危组合漏洞:
◆漏洞等级评定为HIGH;
◆插件地址为https://github.com/civicteam/openclaw-google;
◆包名为@civic/openclaw-google;
◆受影响版本为2026.3.18。
更有冲击力的是,攻击者仅需简单操作,便能实现Token明文窃取、Google Workspace横向移动,还可通过任意环境变量注入升级至RCE远程代码执行,直击云原生、插件生态、智能办公三大科技前沿赛道安全软肋,危害影响范围极大、覆盖面极广,掀起全网技术架构安全风控新风暴。
此次绝非普通小漏洞,而是复合型高危致命缺陷,三重风险捆绑叠加:
openclaw-google插件通过Civic AuthZ代理获取Google OAuth令牌。本次漏洞核心成因在于插件处理proxyUrl时未做任何安全校验,无域名白名单管控、无HTTPS协议强制校验,攻击者可通过控制OPENCLAW_PROXY_URL环境变量,将请求劫持到攻击者控制的服务器,导致:
◆ CIVIC_TOKEN窃取—Bearer token明文发送到恶意proxy Google;
◆ Workspace横向移动—CIVIC_TOKEN换取Google OAuth access token;
◆ 任意环境变量注入—proxy返回值直接写入process.env,可升级为RCE。
漏洞爆发根源在于openclaw-google插件源码层设计严重缺位:
高危漏洞并非人工偶然挖到,而是水滴实验室自研的智能代码安全审计平台常态化开源生态巡检的重磅成果!平台依托静态源码深度分析+动态行为模拟检测,自动匹配高危攻防规则链,精准捕捉参数无过滤、内网无隔离、敏感信息明文输出等高风险特征,再由安全研究员人工复现定级、拆解攻击原理,实现从代码层提前挖洞、风险自动预警、漏洞闭环研判,硬核彰显在前沿开源组件、AI插件生态的领先风控实力。
整个攻击逻辑简单粗暴、杀伤力拉满,AI辅助下的漏洞利用,速度快、门槛低。
攻击者只需构造一条恶意请求参数,即可绕过插件简陋校验机制;后端盲目信任外部传入地址,主动发起内网请求触发SSRF,轻松摸清内网资产架构;同时接口直接回显核心授权Token,造成凭证批量泄露;再借助参数注入篡改服务器环境变量,篡改程序运行逻辑,步步递进实现探测—盗密—控权—留后门完整链式入侵。
攻击者只需设置环境变量OPENCLAW_PROXY_URL即可完全控制目标地址。openclaw.plugin.json中"additionalProperties":false阻止了JSON配置路径,但环境变量不受此schema约束。
Bearer Token的值来自process.env.CIVIC_TOKEN || process.env.NEXUS_TOKEN,为Civic API的核心凭据。
result.envVar和result.value完全由攻击者控制的proxy提供,无key白名单、无value过滤。
攻击者通过投毒环境变量劫持代理地址,插件会自动将CIVIC_TOKEN与用户指令明文发送至攻击者服务器,攻击者可窃取凭证实现Google Workspace横向移动,并通过环境变量注入触发RCE,最终控制网关主机并横向渗透关联服务。
漏洞验证实测,攻击者仅需在Docker环境、CI/CD流水线、.env 配置文件、启动脚本、K8s ConfigMap等场景投毒设置OPENCLAW_PROXY_URL恶意地址,配置本地CIVIC_TOKEN凭据后,重启Gateway进程使环境变量生效,触发插件调用Google相关工具能力(如查询Gmail邮件、谷歌日历等操作),即可自动窃取核心Token与业务命令数据。利用窃取的CIVIC_TOKEN可兑换Google OAuth access token,接管Google Workspace账户全部权限,实现Gmail邮件读写删除转发、日历事件篡改、网盘文件窃取分享、联系人信息导出等高危操作。
本次漏洞影响覆盖面极广,机密性、完整性风险均评定为高等级。机密性层面,所有通过gog向LLM发送的命令内容存在外泄风险;完整性层面,可篡改Google Workspace各类业务数据;攻击范围可从Gateway进程作为跳板,扩散至Google Cloud服务、网关主机整机,同时泄露CIVIC_TOKEN、NEXUS_TOKEN及全量环境变量中的API密钥、~/.openclaw/credentials目录下所有凭据,还可横向渗透.env 配置、CI/CD配置、Docker密钥及GitHub、GitLab、云服务商等各类开发者凭据资源。
风险波及面极广,大量场景无一幸免:
● 所有搭载openclaw-google插件的服务器、容器集群、本地开发环境;
● 大模型AI插件生态、企业智能调度系统、云原生核心业务节点;
● 政企自研运维平台、自动化接口联动系统、开源项目部署环境;
● 个人开发者、中小微企业因安全防护薄弱,沦为首要被攻击目标。
1、针对该高危漏洞,建议全程沿用专业技术规范无额外编造改动
配置代理域名白名单
在index.ts第22行代码前增加hostname校验逻辑,仅允许app.civic.com及其子域名访问,拦截非法代理主机并输出安全告警;
增设环境变量白名单
定义允许写入的环境变量集合,仅放行GOG_ACCESS_TOKEN、GMAIL_ACCESS_TOKEN等预设合规变量,拦截非法环境变量注入行为;
强制HTTPS协议校验
校验proxyUrl协议头,仅允许https://协议接入,拦截非HTTPS明文代理请求;
新增HMAC签名校验
为插件与代理服务通信增设请求签名,防范中间人篡改;
完善安全审计日志
在插件register()中新增日志记录,全程记录proxyUrl地址变更及异常响应行为,便于安全溯源排查。
2、版本升级加固
天翼安全公司提醒广大用户,尽快排查业务环境中openclaw-google插件版本,及时按照修复建议完成代码整改与安全配置加固,封堵SSRF窃取、环境变量注入及RCE攻击链路,防范Google Workspace数据泄露、主机沦陷及内网横向渗透等安全风险。
3、常态化安全风控
建议搭建智能化、自动化的代码安全审计体系,针对AI插件、开源组件、自研业务代码开展全周期常态化风险巡检。依托高精度源码分析、动态行为检测与高危攻防规则匹配能力,精准识别参数过滤缺失、内网权限失控、敏感信息泄露、变量注入等底层代码缺陷,将安全风控前置至开发、上线、运维全流程,从代码源头预判、发现并闭环各类组合型高危隐患,筑牢源码层安全防御壁垒,有效规避开源生态频繁爆发的同类漏洞风险。
当AI插件以天为单位迭代上线,当攻击者用一条请求就能撬动全网架构,传统的开源插件安全审核机制还能跟得上这场风暴吗?
天翼安全公司水滴实验室将持续以自研智能化代码审计平台为核心,深耕大模型插件、云原生、开源生态安全研究,持续输出高危漏洞预警、原理拆解、实测复现与落地防护方案,以前沿技术实力护航政企数智化安全行稳致远。
来 源:中国电信安全
责 编:吴 昊
主 编:李悦华
