近期，，，OpenClaw 作为热点的 AI 智能体平台，，，援手无数开发者和企业提升了工作效能。。。然而，，，随着职能的急剧迭代，，，一些安全风险也逐步浮出水面。。。国度信息安全缝隙数据库（NVDB）已收录其多款高危缝隙；GitHub Advisory Database 更是在 2026 年 3 月集中披露了数十个 OpenClaw 有关安全缝隙，，，涵盖认证绕过、号令注入、信息泄露、权限越权等多个维度，，，若公网露出的实例未实时修复，，，攻击者可直接实现未授权远程代码执行，，，对企业和小我数据安全、系统运行造成严重威胁。。。

    当前 OpenClaw 的缝隙分析显示，，，其安全问题重要集中在权限管控逻辑缺点、沙箱机制绕过、网络防护不美满、认证校验不严谨四风雅面，，，且无数缝隙因框架的散布式执行个性和多渠道交互设计被放大，，，低版本实例受影响尤为严重。。。本文将对 OpenClaw 近期披露的主题缝隙进行技术分析，，，给出针对性的加固建议和版本升级指南，，，为有关部署方提供安全参考。。。

    01

    高危缝隙警示

    本次梳理的 OpenClaw 高危缝隙共 5 个（占有 CVE 编号缝隙 2 个），，，均为可直接利用的高风险缝隙，，，其中 1个已发此刻野利用，，，覆盖认证令牌泄露、号令注入、跨域敏感信息转发、网关认证信息泄露等类型，，，CVSS 评分最高达 8.8 分。。。

    1. OpenClaw 跨域重定向缝隙(GHSA-6mgf-v5j7-45cr)

    
：Φ燃
：高危

    CVE 编号
：待分配

    CVSS 评分
：7.5

    缝隙描述
：OpenClaw 的 fetch-guard 组件存在逻辑缺点，，，在跨域重定向过程中，，，会将自界说的授权要求头直接转发至重定向指标地址，，，导致授权凭证泄露至非可信域名。。。

    影响版本
：<= 2026.3.2

    修复版本
：>= 2026.3.7

    攻击场景
：攻击者机关恶意跨域重定向链接，，，诱导 OpenClaw 合法用户接见，，，fetch-guard 在重定向时将用户的授权头转发至攻击者节制的服务器，，，获取授权凭证。。。

    潜在
：
：攻击者利用泄露的授权凭证实现未授权 API 挪用，，，执行文件操作、系统号令等行为，，，窃取用户数据或节制 AI 代理。。。

    修复建议
：升级至 OpenClaw 2026.3.7 及以上版本，，，该版本已加强浏览器端 SSRF 防护，，，拦截私有网络的中央重定向跳跃；在 fetch-guard 组件中增长跨域重定向授权头过滤规定，，，仅允许向可信域名转发授权信息。。。

    2. OpenClaw 信息泄露缝隙(GHSA-rchv-x836-w7xp)

    
：Φ燃
：高危

    CVE 编号
：待分配

    CVSS 评分
：7.1

    缝隙描述
：OpenClaw 的治理仪表盘存在信息泄露缺点，，，网关认证有关的敏感资料会通过浏览器 URL 查问参数和 localStorage 本地存储进行传输和保留，，，未做加密和脱敏处置。。。

    影响版本
：<= 2026.3.2

    修复版本
：>= 2026.3.7

    攻击场景
：攻击者通过物理接触、浏览器缝隙或跨站剧本攻击（XSS），，，获取指标设备浏览器的 URL 汗青或 localStorage 数据，，，提取网关认证资料；若为共享设备，，，可直接查看浏览器纪录获取认证信息。。。

    潜在
：
：攻击者获取网关认证资料后，，，可直接管受 OpenClaw 网关，，，节制整个 AI 代理系统，，，执行肆意系统级工作，，，窃取本地所罕见据。。。

    修复建议
：升级至 OpenClaw 2026.3.7 及以上版本，，，移除认证信息在 URL 查问参数中的传输方式，，，对 localStorage 中存储的认证资料进行高强度加密；增长认证信息的过期机制，，，短功夫无操作自动断底子地存储的认证数据。。。

    3. OpenClaw 远程代码执行缝隙(CVE-2026-25253)

    
：Φ燃
：高危

    CVE 编号
：CVE-2026-25253

    CVSS 评分
：8.8

    缝隙描述
：OpenClaw Control UI 存在参数处置缺点，，，接受查问字符串中的 gatewayUrl 参数，，，且在自动成立 WebSocket 衔接时，，，会将认证令牌直接传输至该参数指定的地址，，，未做域名校验。。。

    影响版本
：< 2026.1.29

    修复版本
：>= 2026.1.29

    攻击场景
：已在野利用，，，攻击者机关蕴含恶意 gatewayUrl 参数的垂钓链接，，，诱导 OpenClaw 用户接见，，，Control UI 将认证令牌传输至攻击者节制的 WebSocket 服务器，，，攻击者利用令牌收受代理。。。

    潜在
：
：直接实现未授权远程代码执行，，，以 OpenClaw 运行权限在宿主机执行肆意号令，，，窃取本地数据、节制设备操作，，，甚至横向渗入至内网其他设备。。。

    修复建议
：立即升级至 2026.1.29 及以上版本，，，增长 gatewayUrl 参数的可信域名白名单校验，，，仅允许衔接至本地或预配置的可信网关地址；对 WebSocket 传输的认证令牌进行端到端加密，，，预防中途被窃取。。。

    4. OpenClaw 号令注入缝隙(CVE-2026-25157)

    
：Φ燃
：高危

    CVE 编号
：CVE-2026-25157

    CVSS 评分
：8.1

    缝隙描述
：OpenClaw 的特定 API 端点存在参数解析缺点，，，未对传入的参数进行严格的过滤和校验，，，攻击者可通过该端点注入肆意系统号令。。。

    影响版本
：< 2026.1.29

    修复版本
：>= 2026.1.29

    攻击场景
：攻击者直接向存在缝隙的 API 端点发送蕴含恶意号令的要求，，，参数被直接解析执行，，，无需额外的身份校验。。。

    潜在
：
：以 OpenClaw 运行权限在宿主机执行肆意系统号令，，，实现文件读取、写入、删除，，，甚至节制设备操作，，，若为服务器部署，，，可获取服务器权限。。。

    修复建议
：立即升级至 2026.1.29 及以上版本，，，对所有 API 端点的传入参数进行严格的过滤和转义，，，不容蕴含系统号令的特殊字符；增长 API 端点的接见白名单，，，仅允许可信 IP 和用户接见。。。

    5. OpenClaw 号令注入缝隙(CVE-2026-24763)

    
：Φ燃
：高危

    CVE 编号
：CVE-2026-24763

    CVSS 评分
：7.8

    缝隙描述
：OpenClaw 的插件执行接口存在沙箱机制绕过缺点，，，恶意插件可突破沙箱限度，，，直接向接口注入肆意系统号令，，，且号令可被直接执行。。。

    影响版本
：< 2026.1.29

    修复版本
：>= 2026.1.29

    攻击场景
：攻击者开发蕴含恶意号令注入代码的插件，，，诱导用户装置，，，插件通过执行接口突破沙箱限度，，，执行恶意系统号令。。。

    潜在
：
：绕过沙箱隔离，，，执行肆意系统号令，，，窃取本地数据、批改系统配置，，，甚至植入恶意法式，，，对设备造成永远性粉碎。。。

    修复建议
：立即升级至 2026.1.29 及以上版本，，，加强插件执行接口的沙箱防护机制，，，不容插件直接挪用系统号令；对第三方插件进行严格的安全审核，，，增长插件代码的静态扫描和动态检测。。。

    02

    中危缝隙汇总

    GitHub 在 2026 年 3 月 9 日最新披露的缝隙中，，，有 8 个均为中危缝隙，，，重要集中在 system.run 组件权限管控缺点、ACP 会话初始化逻辑问题、认证锁止规定疏漏等方面，，，影响 OpenClaw 最新版本之前的 npm 刊行版，，，修复版本均为 2026.3.7。。。同时在 2026 年 2 月 4 日披露的缝隙中，，，中危缝隙（CVE-2026-25475）已发此刻野利用，，，必要重点关注。。。 9 个中危缝隙的主题信息梳理
：

    1. OpenClaw 本地主机信赖绕过缝隙(CVE-2026-25475)

    
：Φ燃
：中危（高危利用风险）

    CVE 编号
：CVE-2026-25475

    CVSS 评分
：6.5

    缝隙描述
：OpenClaw 存在认证逻辑缺点，，，谬误地将所有来自localhost的衔接视为可信起源，，，未做额外的身份校验，，，存在信赖天堑绕过问题。。。

    影响版本
：<= 2026.1.30

    修复版本
：>= 2026.2.01

    攻击场景
：已在野利用，，，攻击者节制指标设备上的恶意网站，，，通过 JavaScript 在本地提议 WebSocket 衔接，，，利用localhost的可信属性绕过 OpenClaw 的认证机制，，，实现未授权接见。。。

    潜在
：
：绕过认证后执行未授权操作，，，蕴含文件读取、系统号令挪用等，，，若为服务器端部署，，，可进一步利用该缝隙获取服务器权限。。。

    修复建议
：立即升级至 2026.2.01 及以上版本，，，取缔对localhost衔接的无前提信赖，，，为本地衔接增长额外的身份校验机制；限度浏览器端 JavaScript 对 OpenClaw 本地网关的挪用权限。。。

    2. 沙箱 ACP 要求初始化主机遇话(GHSA-9q36-67vc-rrwg)

    
：Φ燃
：中危

    CVE 编号
：待分配

    CVSS 评分
：5.9

    缝隙描述
：沙箱环境下的 /acp 天生要求可绕过沙箱限度，，，直接初始化主机端的 ACP 会话，，，突破沙箱隔离天堑。。。

    影响版本
：<= 2026.3.2

    修复版本
：>= 2026.3.7

    攻击场景
：攻击者在沙箱中机关恶意 /acp 天生要求，，，触发主机 ACP 会话初始化，，，获取主机端的 ACP 操作权限。。。

    潜在
：
：突破沙箱隔离，，，在主机端执行 ACP 有关操作，，，实现权限提升，，，进一步挪用系统资源。。。

    修复建议
：升级至 OpenClaw 2026.3.7 及以上版本。。。

    3. system.run 悠久化蕴含 shell 注解载荷尾(GHSA-9q2p-vc84-2rwm)

    
：Φ燃
：中危

    CVE 编号
：待分配

    CVSS 评分
：5.0

    缝隙描述
：system.run 的 allow-always 悠久化机制存在解析缺点，，，会将蕴含 shell 注解的载荷尾保留并执行，，，绕过号令校验。。。

    影响版本
：<= 2026.3.2

    修复版本
：>= 2026.3.7

    攻击场景
：攻击者机关蕴含 shell 注解的恶意号令，，，利用 allow-always 机制实现号令悠久化，，，注解部门被解析执行。。。

    潜在
：
：绕过 system.run 的号令校验，，，执行未授权的 shell 号令，，，实现文件操作或系统节制。。。

    修复建议
：升级至 OpenClaw 2026.3.7 及以上版本。。。

    4. operator.write 越权写入治理员配置(GHSA-hfpr-jhpq-x4rm)

    
：Φ燃
：中危

    CVE 编号
：待分配

    CVSS 评分
：4.3

    缝隙描述
：operator.write的 chat.send 接口存在权限管控缺点，，，通常用户可通过该接口向治理员专属配置项写入数据，，，实现权限越权。。。

    影响版本
：<= 2026.3.2

    修复版本
：>= 2026.3.7

    攻击场景
：通常用户机关特殊的 chat.send 要求，，，指定治理员专属配置键值，，，实现越权配置批改。。。

    潜在
：
：篡改治理员配置，，，蕴含权限规定、白名单、沙箱限度等，，，进一步实现未授权操作。。。

    修复建议
：升级至 OpenClaw 2026.3.7 及以上版本。。。

    5. system.run 包装深度天堑绕过 shell 审批(GHSA-r6qf-8968-wj9q)

    
：Φ燃
：中危

    CVE 编号
：待分配

    CVSS 评分
：5.0

    缝隙描述
：system.run 的 wrapper-depth 天堑校验存在逻辑疏漏，，，当包装深度超过阈值时，，，会直接跳过 shell 号令的审批门控。。。

    影响版本
：<= 2026.3.2

    修复版本
：>= 2026.3.7

    攻击场景
：攻击者机关多层嵌套的包装号令，，，突破 wrapper-depth 阈值，，，绕过 shell 审批执行恶意号令。。。

    潜在
：
：绕过系统的号令审批机制，，，执行未授权 shell 号令，，，窃取数据或节制系统。。。

    修复建议
：升级至 OpenClaw 2026.3.7 及以上版本。。。

    6. 跨账户发送者授权扩大(GHSA-pjvx-rx66-r3fg)

    
：Φ燃
：中危

    CVE 编号
：待分配

    CVSS 评分
：5.4

    缝隙描述
：/allowlist 的 --store 参数在账户领域划分时存在缺点，，，可实现跨账户的发送者授权扩大，，，突破账户隔离。。。

    影响版本
：<= 2026.3.2

    修复版本
：>= 2026.3.7

    攻击场景
：攻击者利用 --store 参数的逻辑缺点，，，将自身的发送者权限扩大至其他账户，，，获取跨账户的操作权限。。。

    潜在
：
：突破账户隔离天堑，，，接见其他账户的资源、执行跨账户操作，，，窃取多账户数据。。。

    修复建议
：升级至 OpenClaw 2026.3.7 及以上版本。。。

    7. system.run 白名单漏检 PowerShell 编码号令(GHSA-3h2q-j2v4-6w5r)

    
：Φ燃
：中危

    CVE 编号
：待分配

    CVSS 评分
：5.0

    缝隙描述
：system.run 的白名单审批解析机制未对 PowerShell 的编码号令包装进行校验，，，漏检恶意编码号令。。。

    影响版本
：<= 2026.3.2

    修复版本
：>= 2026.3.7

    攻击场景
：攻击者将恶意号令进行 PowerShell 编码包装，，，绕过白名单审批，，，执行未授权操作。。。

    潜在
：
：绕过号令白名单，，，执行 PowerShell 恶意编码号令，，，实现系统节制和数据窃取。。。

    修复建议
：升级至 OpenClaw 2026.3.7 及以上版本。。。

    8. system.run 环境覆盖过滤允许危险号令支点(GHSA-j425-whc4-4jgc)

    
：Φ燃
：中危

    CVE 编号
：待分配

    CVSS 评分
：6.3

    缝隙描述
：system.run 的环境变量覆盖过滤机制存在缺点，，，允许攻击者机关危险的辅助号令支点，，，实现号令注入。。。

    影响版本
：<= 2026.3.2

    修复版本
：>= 2026.3.7

    攻击场景
：攻击者通过环境变量覆盖，，，机关辅助号令支点，，，进一步注入恶意系统号令。。。

    潜在
：
：实现号令注入，，，以 OpenClaw 权限执行肆意系统号令，，，粉碎系统环境或窃取数据。。。

    修复建议
：升级至 OpenClaw 2026.3.7 及以上版本。。。

    9. 钩子将非 POST 要求计入认证锁止(GHSA-6rmx-gvvg-vh6j)

    
：Φ燃
：中危

    CVE 编号
：待分配

    CVSS 评分
：5.3

    缝隙描述
：OpenClaw 的钩子组件存在规定疏漏，，，将非 POST 要求也计入认证失败次数，，，触发不用要的认证锁止。。。

    影响版本
：<= 2026.3.2

    修复版本
：>= 2026.3.7

    攻击场景
：攻击者发送大量非 POST 要求，，，触发认证锁止机制，，，导致合法用户无法正常接见。。。

    潜在
：
：造成回绝服务（DoS），，，合法用户无法正常使用 OpenClaw 的职能，，，影响业务运行。。。

    修复建议
：升级至 OpenClaw 2026.3.7 及以上版本。。。

    03

    安全加固建议

    OpenClaw 的缝隙修复版本重要分为2026.1.29、2026.2.01、2026.3.8-beta.1三个主题版本，，，别离对应分歧的缝隙修复领域，，，部署方可凭据当前版本选择对应的升级蹊径，，，升级过程中需把稳数据备份和兼容性验证。。。

    ?升级蹊径划分

    当前版本 < 2026.1.29
：优先升级至2026.1.29，，，修复 3 个 拥有 CVE 编号的高危缝隙（含 1 个在野利用缝隙），，，这是最垂危的升级步骤，，，升级后可防御远程代码执行、号令注入等主题攻击；若为 npm 版本，，，可持续升级至 2026.3.8-beta.1，，，修复目前 GitHub 披露的所有中高危缝隙。。。

    2026.1.29 <= 当前版本 < 2026.2.01
：升级至2026.2.01，，，修复本地主机信赖绕过缝隙（CVE-2026-25475），，，该版本为 2026.1.29 的小幅安全补。。。，，兼容性无影响。。。

    2026.2.01 <= 当前版本 < 2026.3.8-beta.1
：升级至2026.3.8-beta.1，，，修复 GitHub 在当前披露的所有缝隙，，，蕴含信息泄露、权限越权、沙箱绕过等，，，该版本新增了本地备份、SSRF 防护等安全职能。。。

    04

    主题洞见

    本次分析的 OpenClaw 14 个主题缝隙，，，覆盖认证、权限、沙箱、网络、插件五大主题？？？椋，，其本原重要在于项目急剧迭代过程中，，，安全开发流程未实时跟进，，，导致权限管控逻辑缺点、防护机制不美满、参数校验不严格等问题集中露出。。。其中 4 个已分配 CVE 编号的缝隙中，，，2 个已发此刻野利用，，，且可直接实现远程代码执行，，，对低版本部署实例造成严重威胁；GitHub 披露的缝隙则重要影响最新版本之前的 npm 刊行版，，，以中危为主，，，但可被攻击者利用实现权限提升和数据窃取。。。

    从缝隙特点来看，，，OpenClaw 的散布式执行个性、多渠道交互设计、本地优先的运行机制放大了安全问题的影响
：网关作为主题枢纽，，，其认证信息泄露可直接导致整个系统被节制；沙箱机制的不美满则让攻击者能突破隔离，，，直接接见主机资源；多渠道的交互方式则增长了垂钓攻击、跨域攻击的可能性。。。

    05

    综合措置建议

    ?垂危修复，，，分级措置
：所有 OpenClaw 部署方需立即发展版本核查，，，对低于 2026.1.29 的实例进行垂危升级，，，这是防御在野利用缝隙的关键；对其他版本的实例，，，依照升级指南逐步升级至最新修复版本，，，做到高危缝隙优先修复、中危缝隙实时修复。。。

    ?左移安全，，，强化配置
：企业级部署方需将安全融入 OpenClaw 的全性命周期治理，，，在部署阶段就开启严格的接见节制、配置安全规定，，，预防网关公网露出、权限过度盛开等问题；小我用户需加强本地设备的安全防护，，，预防装置未审核的第三方插件，，，不轻易点击陌生链接。。。

    ?关注官方，，，实时监控
：持续关注 OpenClaw 官方的安全布告和缝隙披露信息，，，实时修复新发现的安全缝隙；成立常态化的缝隙扫描和日志监控机制，，，实现攻击行为的早发现、早预警、早措置。。。

    ?社区协同，，，美满生态
：OpenClaw 作为开源项目，，，其安全生态的美满必要社区的共同参加，，，建议开发者在贡献代码时参与安全检测环节，，，官方需加强第三方插件的安全审核，，，推出安全开发规范，，，从源头削减缝隙的产生。。。

    06

    结语

    OpenClaw 作为颠覆式的 AI 智能体框架，，，其创新的技术架构和使用履历为开发者带来了全新的可能，，，但安满是技术落地的前提。。。本次集中露出的缝隙为所有开源项目敲响了警钟
：在急剧迭代和职能创新的同时，，，必须器重安全开发和防护机制的建设。。。对于 OpenClaw 的部署方而言，，，当前最主题的工作是立即修复已披露的高危缝隙，，，通过严格的配置安全和接见节制降低攻击风险；对于项目官方和社区而言，，，需以这次缝隙事务为契机，，，美满安全开发流程，，，强化防护机制，，，让 OpenClaw 在安全的基础上实现更大的发展。。。

    网络安全无小事，，，尤其是具备系统级操作能力的 AI 智能体框架，，，其安全问题直接关系到设备和数据的主题安全。。。但愿本次缝隙分析能为 OpenClaw 的部署方提供有价值的参考，，，共同筑牢网络安全防线。。。

    参考

    https://github.com/openclaw/openclaw/security

    https://openclawga-hiaxppxg.manus.space/cve

    https://mp.weixin.qq.com/s/mRWlFkiq9gaqX1oVuu9Ceg

    https://socket.dev/blog/openclaw-advisory-surge-highlights-gaps-between-ghsa-and-cve-tracking