【复现】OpenClaw远程代码执行漏洞(CVE-2026-28466)
OpenClaw 凭借其丰富的功能和灵活性,在2026年成为开源人工智能代理生态系统中的明星项目。作为一个聊天机器人平台,OpenClaw允许用户通过Web界面或即时通讯平台下达自然语言指令,完成邮件管理、日历调度、浏览器自动化、文件操作以及 shell 命令执行等高权限任务。近日,OpenClaw修复了一个CVSS评分为9.4的严重漏洞CVE-2026-28466,该漏洞是在Gateway 转发 node.invoke 请求时,未对用户传入的参数做任何过滤,导致经过认证的客户端可以绕过执行审批机制。拥有有效网关凭证的攻击者可以注入审批控制字段,在连接的节点主机上执行任意命令,成功利用将导致完全控制节点主机。根据网络空间测绘引擎FOFA的数据,截至 2026年3月13日,互联网上存在116,672个潜在的易受攻击OpenClaw实例。
[*]漏洞描述
Gateway是OpenClaw的核心服务,负责管理所有消息通道、会话调度和Agent编排,对外提供WebSocket API。Node是连接到Gateway的终端设备(如:macOS/iOS/Android 应用或命令行进程),为系统提供本地执行能力,包括运行Shell命令、操控浏览器、访问摄像头等设备功能。Gateway通过node.invoke将执行请求发送到目标Node,Node在本地完成执行后将结果回传给Gateway,整个过程通过WebSocket的请求-响应机制完成。
2026.2.14之前版本的OpenClaw中,Gateway在转发node.invoke请求时未对params参数进行过滤,经过身份认证的用户可以在调用参数中注入approved内部控制字段,绕过Node主机的执行审批机制,通过system.run在Node上执行任意shell命令。
[*]影响版本
OpenClaw<2026.2.14
[*]漏洞原理
该漏洞的根因在于从Gateway到Node的整条调用链路上,均未对用户可控的参数字段进行校验或过滤。
(1)Gateway端:原样转发,不过滤内部字段
Gateway的node.invoke处理函数将客户端传入的params直接传递给nodeRegistry.invoke(),未做任何字段剥离。
(2)Node Registry:序列化后直接发送
params被序列化为paramsJSON后直接通过WebSocket发送给Node,同样没有过滤。
(3)Node端:直接信任params中的审批字段
Node反序列化后的参数中包含审批控制字段,审批判断逻辑直接读取该字段且无任何来源验证。当该字段被设为通过状态时,审批检查和白名单校验均被跳过,命令直接执行,用户不会看到任何审批提示。
[*]漏洞危害
该漏洞允许任何经过Gateway身份认证的用户在未经Node主机所有者批准的情况下,远程执行任意Shell命令。攻击者可借此:
[*]
完全控制Node设备:读取、篡改或删除 Node 主机上的任意文件。
[*]
窃取敏感数据:获取Node设备上的凭据、密钥、隐私文件等。
[*]
横向移动:以Node主机为跳板,进一步渗透所在网络的其他系统。
[*]
持久化驻留:植入后门程序或定时任务,维持对Node设备的长期访问。
[*]漏洞复现
[*]安全建议
(1)立即升级
OpenClaw官方已发布安全通告并发布了修复版本,请尽快升级至最新版本。
(2)临时缓解措施
[*]
确认Gateway未暴露到公网:Gateway默认仅监听本机(127.0.0.1),确认启动参数中未使用将端口暴露至外部网络的配置。
[*]
审查历史执行记录:排查Node主机上是否存在异常的system.run调用,重点关注未经正常审批流程、直接携带approved: true的请求。
[*]
最小权限运行:以最低必要权限运行Node进程,避免使用root或管理员账户,降低命令执行后的影响范围。
截至目前,OpenClaw项目中已累计发现283个安全漏洞。本文分析的审批绕过漏洞是一个典型案例:功能逻辑完整,但未验证"审批结果是否真实来自用户"。这也反映了AI Agent在安全设计上存在短板:系统往往倾向于信任输入,优先实现功能而忽视了边界条件和安全校验。特别是在涉及权限校验、信任边界等安全关键路径时,忽视这些细节可能带来严重的安全风险。因此,用户在使用AI Agent时应保持审慎,确保对潜在的安全威胁和漏洞进行充分的识别与防范。
参考链接:
https://github.com/advisories/GHSA-gv46-4xfq-jv58
https://nvd.nist.gov/vuln/detail/CVE-2026-28466
启明星辰积极防御实验室(ADLab)
ADLab成立于1999年,是中国安全行业最早成立的攻防技术研究实验室之一,微软MAPP计划核心成员,“黑雀攻击”概念首推者。截至目前,ADLab已通过 CNVD/CNNVD/NVDB/CVE累计发布安全漏洞7000余个,持续保持国际网络安全领域一流水准。实验室研究方向涵盖基础安全研究、电信运营商基础设施安全研究、移动终端安全研究、云安全研究、信创安全研究、物联网安全研究、车联网安全研究、工控安全研究、数据安全研究、5G安全研究、AI安全研究、卫星安全研究、低空安全研究、高级威胁研究、攻防体系建设。研究成果应用于产品核心技术研究、国家重点科技项目攻关、专业安全服务等。
页:
[1]