答鸭Signals

OpenClaw安全漏洞迫使用户假设系统已被入侵

Ars Technica AI··作者 Dan Goodin

关键信息

该漏洞源于设备配对过程中缺少身份验证检查,使得任何网络访客都能在未认证实例上获得管理员权限。超过63%的暴露OpenClaw部署缺乏认证,使攻击更容易发生。

资讯摘要

OpenClaw是一款广受欢迎的AI代理工具,GitHub上有超过347,000颗星,最近修复了三个高危漏洞,包括CVE-2026-33579——一个让攻击者仅凭基础配对权限就能获得完全管理员控制权的漏洞。由于补丁发布时尚未正式列入CVE编号,攻击者有两天时间可利用脆弱实例。研究人员发现,63%的公开暴露OpenClaw部署未设置认证,意味着任何人都能发起配对请求并接管整个实例。

专家警告用户应假设系统已被入侵,因为这种攻击是静默且无需用户交互的。这一事件强化了人们对自主AI代理在个人和企业环境中拥有过度权限的风险担忧。

OpenClaw安全漏洞迫使用户假设系统已被入侵

资讯正文

OpenClaw让用户对安全问题又多了一个恐慌理由

超过一个月来,安全从业者一直在警告使用OpenClaw的风险。这款在开发社区中引发病毒式传播的AI代理工具,其潜在危害已经通过一个最近修复的漏洞得到了生动体现。

OpenClaw于11月推出,目前在GitHub上已获得34.7万个星标。它设计初衷就是接管用户的计算机,并与其它应用程序和平台交互,以协助完成包括整理文件、进行研究以及在线购物在内的多种任务。为了实现这些功能,它需要尽可能多地访问各种资源——Telegram、Discord、Slack、本地及共享网络文件、账户和已登录会话等都是其目标资源之一。一旦获得权限,OpenClaw就会像用户本人一样操作,拥有相同的广泛权限和能力。

严重后果

本周早些时候,OpenClaw开发团队发布了针对三个高危漏洞的安全补丁。其中一个漏洞CVE-2026-33579的严重性评级在8.1到9.8之间(满分10分),具体取决于所用评估标准——原因非常充分:该漏洞允许任何拥有配对权限(最低级别权限)的攻击者获取管理员身份。一旦得手,攻击者即可控制OpenClaw实例所能访问的所有资源。

AI应用构建工具Blink的研究人员写道:“实际影响极为严重。如果攻击者已经获得了operator.pairing范围权限——这是OpenClaw部署中最基础的有意义权限——他们可以静默批准那些请求operator.admin权限的设备配对请求。一旦批准通过,攻击设备便能获得对OpenClaw实例的完全管理访问权限,无需额外利用手段,也无需用户后续任何交互,仅需初始配对步骤即可完成。”

文章继续指出:“对于将OpenClaw作为公司级AI代理平台运行的组织而言,被攻陷的operator.admin设备可以读取所有连接的数据源,窃取存储在代理技能环境中的凭证,执行任意工具调用,并进一步渗透至其他连接的服务。‘权限提升’这个词根本无法准确描述这种后果:这实际上意味着整个实例的完全接管。”

尽管漏洞已被修复,但这意味着成千上万的实例可能早已遭到入侵,而用户对此却毫无察觉。

自从OpenClaw成为现象级产品以来,安全专家就一直警告,由大语言模型(LLM)带来的风险不容忽视——这类模型本质上不可靠且容易犯最基础的错误,却获得了如此庞大的敏感资源访问权限并具备自主行动能力。今年早些时候,Meta的一位高管曾表示,他要求团队不要将OpenClaw安装在工作电脑上,否则可能面临解雇。这位高管称,该工具的不可预测性可能导致原本安全的环境中发生数据泄露。其他管理者也发出了同样的禁令。安全研究人员同样发出过警告。

进一步加剧担忧的是,补丁虽然在周日发布,但直到周二才正式获得CVE编号。这意味着警觉的攻击者在大多数OpenClaw用户得知漏洞并打补丁之前,已拥有整整两天的攻击窗口期。

OpenClaw让用户又多了一个担心安全问题的理由

Blink表示,由于63%的13.5万个暴露在互联网上的OpenClaw实例在年初的一次扫描中未设置身份验证,这使得攻击者更容易进行实际利用。结果就是,攻击者已经获得了无需任何凭据即可取得管理员控制权的配对权限。

“在这些部署中,任何网络访问者都可以请求配对访问,并获得operator.pairing范围权限,而无需提供用户名或密码,”Blink称,“本应减缓CVE-2026-33579漏洞利用速度的身份验证机制并不存在。”

该漏洞源于OpenClaw在请求管理员级别配对时未能执行任何身份验证。核心批准功能——src/infra/device-pairing.ts——并未检查批准方的安全权限,以确认其是否具备授予请求所需的权限。只要配对请求格式正确,就会被批准。

建议假设系统已被入侵是有充分依据的。运行OpenClaw的用户应仔细检查过去一周活动日志中列出的所有/pair批准事件。除此之外,用户还应重新考虑是否继续使用OpenClaw。无论使用该工具能带来多少效率提升,一旦威胁行为者获取了通往网络王国的钥匙,这种优势可能瞬间荡然无存。

#ai-security#vulnerability#open-source#cybersecurity

来源与参考

  1. 原始链接
  2. OpenClaw gives users yet another reason to be freaked out about security

收录于 2026-04-04