【复现】OpenClaw远程代码执行漏洞（CVE-2026-28466）

OpenClaw 凭借其丰富的功能和灵活性，在2026年成为开源人工智能代理生态系统中的明星项目。作为一个聊天机器人平台，OpenClaw允许用户通过Web界面或即时通讯平台下达自然语言指令，完成邮件管理、日历调度、浏览器自动化、文件操作以及 shell 命令执行等高权限任务。
近日，OpenClaw修复了一个CVSS评分为9.4的严重漏洞CVE-2026-28466，该漏洞是在Gateway 转发 node.invoke 请求时，未对用户传入的参数做任何过滤，导致经过认证的客户端可以绕过执行审批机制。拥有有效网关凭证的攻击者可以注入审批控制字段，在连接的节点主机上执行任意命令，成功利用将导致完全控制节点主机。根据网络空间测绘引擎FOFA的数据，截至 2026年3月13日，互联网上存在116,672个潜在的易受攻击OpenClaw实例。

• 漏洞描述
  

Gateway是OpenClaw的核心服务，负责管理所有消息通道、会话调度和Agent编排，对外提供WebSocket API。Node是连接到Gateway的终端设备（如：macOS/iOS/Android 应用或命令行进程），为系统提供本地执行能力，包括运行Shell命令、操控浏览器、访问摄像头等设备功能。Gateway通过node.invoke将执行请求发送到目标Node，Node在本地完成执行后将结果回传给Gateway，整个过程通过WebSocket的请求-响应机制完成。
2026.2.14之前版本的OpenClaw中，Gateway在转发node.invoke请求时未对params参数进行过滤，经过身份认证的用户可以在调用参数中注入approved内部控制字段，绕过Node主机的执行审批机制，通过system.run在Node上执行任意shell命令。

• 影响版本
  

OpenClaw<2026.2.14

• 漏洞原理
  

该漏洞的根因在于从Gateway到Node的整条调用链路上，均未对用户可控的参数字段进行校验或过滤。

（1）Gateway端：原样转发，不过滤内部字段

Gateway的node.invoke处理函数将客户端传入的params直接传递给nodeRegistry.invoke()，未做任何字段剥离。



（2）Node Registry：序列化后直接发送

params被序列化为paramsJSON后直接通过WebSocket发送给Node，同样没有过滤。



（3）Node端：直接信任params中的审批字段

Node反序列化后的参数中包含审批控制字段，审批判断逻辑直接读取该字段且无任何来源验证。当该字段被设为通过状态时，审批检查和白名单校验均被跳过，命令直接执行，用户不会看到任何审批提示。

• 漏洞危害
  

该漏洞允许任何经过Gateway身份认证的用户在未经Node主机所有者批准的情况下，远程执行任意Shell命令。攻击者可借此：

• 
  完全控制Node设备：读取、篡改或删除 Node 主机上的任意文件。
• 
  窃取敏感数据：获取Node设备上的凭据、密钥、隐私文件等。
• 
  横向移动：以Node主机为跳板，进一步渗透所在网络的其他系统。
• 
  持久化驻留：植入后门程序或定时任务，维持对Node设备的长期访问。
  

• 漏洞复现
  

• 安全建议
  
  

（1）立即升级

OpenClaw官方已发布安全通告并发布了修复版本，请尽快升级至最新版本。

（2）临时缓解措施

• 
  确认Gateway未暴露到公网：Gateway默认仅监听本机（127.0.0.1），确认启动参数中未使用将端口暴露至外部网络的配置。
• 
  审查历史执行记录：排查Node主机上是否存在异常的system.run调用，重点关注未经正常审批流程、直接携带approved: true的请求。
• 
  最小权限运行：以最低必要权限运行Node进程，避免使用root或管理员账户，降低命令执行后的影响范围。
  

截至目前，OpenClaw项目中已累计发现283个安全漏洞。本文分析的审批绕过漏洞是一个典型案例：功能逻辑完整，但未验证"审批结果是否真实来自用户"。这也反映了AI Agent在安全设计上存在短板：系统往往倾向于信任输入，优先实现功能而忽视了边界条件和安全校验。特别是在涉及权限校验、信任边界等安全关键路径时，忽视这些细节可能带来严重的安全风险。因此，用户在使用AI Agent时应保持审慎，确保对潜在的安全威胁和漏洞进行充分的识别与防范。
参考链接：
[1]https://github.com/advisories/GHSA-gv46-4xfq-jv58

[2]https://nvd.nist.gov/vuln/detail/CVE-2026-28466

启明星辰积极防御实验室（ADLab）

ADLab成立于1999年，是中国安全行业最早成立的攻防技术研究实验室之一，微软MAPP计划核心成员，“黑雀攻击”概念首推者。截至目前，ADLab已通过 CNVD/CNNVD/NVDB/CVE累计发布安全漏洞7000余个，持续保持国际网络安全领域一流水准。实验室研究方向涵盖基础安全研究、电信运营商基础设施安全研究、移动终端安全研究、云安全研究、信创安全研究、物联网安全研究、车联网安全研究、工控安全研究、数据安全研究、5G安全研究、AI安全研究、卫星安全研究、低空安全研究、高级威胁研究、攻防体系建设。研究成果应用于产品核心技术研究、国家重点科技项目攻关、专业安全服务等。