安全研究人员近期披露了OpenClaw平台中存在的一系列安全漏洞。攻击者能够将这些漏洞串联组合,构建出一条完整的攻击路径,最终达成窃取敏感数据、提升系统权限,甚至实现对目标主机的持久化控制。这组被命名为“Claw Chain”的漏洞链,清晰地展示了攻击者如何建立初始访问、横向移动窃取信息,并隐蔽地植入后门程序。
具体而言,这组高危漏洞包含以下四个关键环节:
CVE-2026-44112(CVSS评分:9.6/6.3):OpenShell托管沙箱后端存在一个“检查时间与使用时间”(TOCTOU)竞争条件漏洞。成功利用此漏洞,攻击者可突破沙箱隔离限制,将数据写入预设的挂载根目录之外的任意位置。
CVE-2026-44113(CVSS评分:7.7/6.3):同样是OpenShell组件中的TOCTOU竞争条件漏洞,但此漏洞允许攻击者读取预设挂载根目录之外的文件内容,可能导致敏感信息泄露。
CVE-2026-44115(CVSS评分:8.8):由于输入验证的允许列表存在缺陷,攻击者可通过在heredoc主体中嵌入shell扩展标记,绕过安全验证机制,进而在运行时执行未授权的任意命令。
CVE-2026-44118(CVSS评分:7.8):这是一个访问控制不当的权限提升漏洞。非所有者的环回客户端可以冒用所有者身份,从而非法获取对网关配置、cron任务调度以及执行环境管理的高级控制权。
漏洞利用影响与攻击链分析
根据Cyera安全团队的分析,成功利用CVE-2026-44112漏洞,攻击者能够篡改关键系统配置、植入持久化后门,从而完全控制受感染的主机。而CVE-2026-44113漏洞则可被武器化,用于窃读系统文件、用户凭据以及其他内部敏感构件。
整个“Claw Chain”攻击链可被清晰地划分为四个递进阶段:
首先,攻击者通过投递恶意插件、实施提示注入攻击或利用已被入侵的外部输入,在OpenShell沙箱内获得任意代码执行能力。紧接着,他们利用CVE-2026-44113(文件读取)和CVE-2026-44115(命令执行)这两个漏洞,窃取系统凭据、加密密钥及其他敏感文件。在获得这些关键信息后,攻击者借助CVE-2026-44118权限提升漏洞,获取Agent运行时的所有者级控制权限。最后,利用CVE-2026-44112漏洞,攻击者植入持久化后门或修改关键系统配置,确保其在受感染环境中长期隐蔽驻留。
漏洞根源分析与官方修复方案
网络安全公司的深入分析指出,CVE-2026-44118漏洞的根本原因在于,OpenClaw系统过度信任一个由客户端控制的名为`senderIsOwner`的所有权标志。该标志本应用于授权调用者使用所有者专属工具,但系统未能将其与实际的、经过强认证的会话进行比对验证,从而留下了身份冒用的安全隐患。
对此,OpenClaw在官方安全公告中详细说明了修复方案:“MCP环回运行时现已进行关键更新,会分别为所有者和非所有者颁发不同类型的持有令牌。`senderIsOwner`标志将完全根据请求认证所使用的令牌类型进行严格判定。系统不再生成或信任任何可能被伪造的`sender-owner`标头。”这一设计从根本上消除了身份冒用的可能性,强化了权限边界。
安全建议与总结
值得肯定的是,所有这四个高危漏洞均已通过负责任的披露流程进行处理,并已在OpenClaw 2026.4.22及后续版本中得到彻底修复。研究人员Vladimir Tokarev因发现并报告这些漏洞而获得了官方致谢。目前最紧迫的安全建议是,所有OpenClaw用户应立即检查并升级至最新版本,以彻底防范潜在的攻击威胁。
Cyera在报告最后强调了一个需要高度警惕的安全现象:“攻击者通过武器化Agent自身的高权限,逐步实现了数据访问、权限提升和持久化控制——这实质上将受信任的Agent转变为了其在环境内部进行横向移动和攻击的跳板。更为棘手的是,攻击链中的每一个恶意步骤,在传统的安全监控和日志审计视角下,都表现得与Agent的正常合法行为高度相似。这极大地扩大了攻击的实际影响范围,同时也使得基于行为的异常检测变得异常困难。” 这提醒我们,在复杂的云原生与自动化环境中,必须实施更细粒度的权限划分和基于零信任原则的持续行为监控。
