文章总结： OpenClaw存在CVE-2026-25253远程代码执行漏洞，因UI信任URL参数致令牌窃取，攻击者可接管实例。官方已发v2026.1.29修复，建议立即升级，强制开启Token认证，避免端口公网暴露，并强化网络隔离与应用加固以防范风险。 综合评分： 88 文章分类： 漏洞预警,AI安全,漏洞分析,应急响应

关于AI项目OpenClaw存在远程代码执行漏洞（CVE-2026-25253）的风险提示

安天CERT 安天CERT

安天垂直响应平台

2026年2月3日 18:01 北京

点击上方”蓝字”

关注我们吧！

01

概述

近年来，基于AI技术的自部署应用大量出现，例如近期热门的自动化AI智能体应用OpenManus、OpenClaw（曾用名Clawdbot/Moltbot）等。这些AI智能体应用基于简单的自然语言指令自动执行复杂的任务，具备对系统接口的直接调用权限，但这类结果不完全可控的自动决策、自动执行的设计与现有的网络安全设计原则具有天然的冲突，在公网环境中部署此类应用时，若安全措施缺失，可能引发严重安全威胁。

OpenClaw于2026年初凭借“执行型AI代理”的产品形态实现现象级传播，其通过深度集成WhatsApp、Telegram等通讯工具，以本地自托管架构赋予用户数据主权，在保障隐私前提下提供系统级自动化能力。作为GitHub的开源项目，GitHub星标数在72小时内从约9,000飙升至逾60,000（截至2026年2月3日已超过153,000星标）。2026年1月30日，OpenClaw修复了此前被披露的严重漏洞（CVE-2026-25253）。该漏洞源于控制UI对URL查询字符串中gatewayUrl参数的过度信任，允许攻击者通过恶意链接实现跨站WebSocket劫持，进而窃取API令牌、执行任意命令。存在用户实例暴露于公网，其中部分实例完全开放无认证。官方建议用户立即升级至2026.1.29或更高版本，并强制启用Token认证，避免直接暴露18789端口至公网。其“高权限本地代理”的核心架构与“易用性优先于安全性”的设计哲学亦引发重大安全隐患，包括反向代理配置缺陷导致的公网暴露、提示注入攻击、一键远程代码执行及供应链污染等风险，致使全球大量实例面临未授权访问威胁，API密钥与敏感凭证明文存储更成为窃密木马的重点狩猎目标，暴露出AI原生操作系统在创新突破与安全防护之间的结构性张力。

02

风险描述

OpenClaw的控制UI（openclaw-master\source\control-ui）信任URL查询字符串中的gatewayUrl参数，允许攻击者通过恶意链接将受害者的WebSocket连接重定向至攻击者控制的服务器。

图1 漏洞预警信息[1]（机器翻译）来源：https://nvd.nist.gov/vuln/detail/CVE-2026-25253

该漏洞源于控制UI对URL查询字符串中gatewayUrl参数的过度信任，攻击者可构造包含恶意WebSocket地址的链接诱导受害者点击，使浏览器建立与攻击者控制服务器的连接，进而窃取明文存储于URL中的sessionToken。获得令牌后，攻击者即可通过OpenClaw网关API以受害者身份执行任意系统命令，实现完全实例接管。Shodan扫描显示当时全球约780个OpenClaw实例暴露于公网，其中部分未启用认证，面临直接攻击风险。

官方于2026年1月30日发布2026.1.29版本修复该漏洞，移除了敏感参数通过URL传递的机制。防御要求用户立即升级至修复版本，强制启用Token认证，并避免将18789端口直接暴露于公网，建议通过反向代理或私有网络访问以阻断攻击路径。

图2 更新信息[2]（机器翻译）来源：https://github.com/openclaw/openclaw/releases/tag/v2026.1.29

03

受影响范围

OpenClaw版本<= 2026.1.28

04

漏洞缓解建议

[1]升级至最新版本（2026.1.29+），修复CVE-2026-25253

[2]启用Token认证：token= 或 –token，强制所有连接认证

[3]避免公网暴露：使用VPN、SSH隧道或私有网络访问，切勿直接暴露18789

等端口

05

安全建议

针对OpenClaw的安全防护需构建多方面的防御体系：

[1]网络边界方面应强制启用Token认证并禁用X-Forwarded-For自动信任，严禁3000、18789等管理端口直连公网，采用VPN或零信任架构实现私有访问，结合定期扫描监控暴露面。

[2]应用加固方面需立即升级至2026.1.29+版本修复CVE-2026-25253漏洞，移除URL明文传令牌机制，实施WSS强制加密与CSP策略阻断跨站WebSocket劫持，对高危操作启用人机二次确认。

[3]数据保护方面须对~/.clawdbot/等配置、数据目录实施全盘加密与严格权限管控，迁移API密钥至KMS密钥管理系统，部署EDR工具实时监控窃密木马行为。

[4]供应链安全方面应建立MoltHub智能体技能库强制代码审查与验证机制，禁用自动更新并实施沙箱行为监控，仅安装经认证的组件。

AI智能体应用发展迅速，大多数应用开发时长较短，在安全方面未能进行完整实践，用户在部署使用这类应用时应更加考虑加强防护，对代码进行审查和沙箱运行，做好网络边界防护。

附录：参考资料

[1]. CVE-2026-25253 Detail

https://nvd.nist.gov/vuln/detail/CVE-2026-25253

[2].Releases · openclaw/openclaw

https://github.com/openclaw/openclaw/releases

[3].CVE-2026-25253: 1-Click RCE in OpenClaw Through Auth Token Exfiltration

https://socradar.io/blog/cve-2026-25253-rce-openclaw-auth-token/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安天垂直响应平台 安天CERT 安天CERT《关于AI项目OpenClaw存在远程代码执行漏洞（CVE-2026-25253）的风险提示》