文章总结： 本文深度剖析OpenClawAIAgent框架的高危远程代码执行漏洞CVE-2026-28466（CVSS9.4），该漏洞源于网关层未对用户输入参数进行安全过滤，攻击者通过注入approved字段即可绕过审批机制执行任意命令。文章完整演示了从网关层到节点层的漏洞触发链条，提供了基于丈八网络靶场的实战复现过程，并给出包含版本升级、网络隔离、权限管控、日志审计等多维度的纵深防御建议，对企业应对AI框架安全威胁具有较强参考价值。 综合评分： 91 文章分类： 漏洞分析,AI安全,安全建设,实战经验,解决方案

丈八网安技术研究：OpenClaw远程代码执行漏洞深度复现

丈八网安

2026年3月26日 14:03 北京

在AI Agent框架快速普及的今天，各类开源Agent架构如同企业业务的神经网络，被广泛应用于流程自动化、智能调度与网关控制等关键场景。AI在大幅提升生产效率的同时，其安全性也直接关系到企业核心业务的命脉与系统的最高权限。

近期，业界广泛使用的开源AI Agent框架OpenClaw（业内俗称“龙虾”）被披露存在高危远程代码执行漏洞（编号：CVE-2026-28466，CVSS 评分高达惊人的 9.4 分）。攻击者只需利用其网关极其简单的逻辑缺陷，就能绕过节点审批机制，直接实现远程代码执行，甚至完全接管目标服务器。

面对如此高危的前沿漏洞，它的触发机制究竟是什么？企业又该如何在不影响生产的前提下进行防御演练？为了深度剖析该漏洞的触发原理与危害机理，丈八的安全技术人员借助丈八网络靶场平台，构建了高仿真的网络环境，将抽象的威胁转化为可复现、可操作的攻防实战场景。

本次披露的OpenClaw高危漏洞（影响版本：OpenClaw < 2026.2.14），其本质是一个典型的输入验证失效漏洞。

该漏洞源于网关在转发指令时未对参数进行任何过滤。具体而言，当网关在转发node.invoke请求时，未对用户传入的参数进行安全性检查，导致攻击者仅需在正常的命令请求中注入一个”approved”: true字段，即可完全绕过节点审批机制，在Node节点上执行任意系统命令。

#

攻防实战：漏洞复现与深层原理剖析

#

#

一、环境构建

为了真实还原攻击者的入侵路径，丈八网安技术团队在“丈八网络靶场平台”上进行了沉浸式的技术演练。该场景完整包含了终端、交换机、网关及 Node 节点等，通过拖拉拽的操作快速完成了高仿真网络环境的构建。

通过平台内置的【网络仿真】应用，安全研究人员灵活地设计了目标网络架构。这种可视化的靶场环境，不仅能直观拆解前沿漏洞的攻击手法，更能助力技术人员在实战中提升防御能力。

#

二、漏洞原理深度拆解

OpenClaw漏洞的触发链条主要分为三个层级，每一个层级的失守最终导致了防线的全面崩溃。

1、网关层

node.invoke处理器首先通过

validateNodeInvokeParams对客户端传入的params进行格式校验，但并未对params对象内部的具体字段进行任何过滤和安全性检查。

处理器在转发请求前，仅仅检查了顶层的command字段是否在白名单中，完全忽略了内层params对象的内容。

随后，处理器直接调用

context.nodeRegistry.invoke，将携带恶意参数的请求放行。

安全剖析： 网关层仅进行了浅层的格式与命令校验，未对核心参数进行深度过滤，导致携带伪造审批标识的恶意请求被直接放行至节点层。

#

2、节点注册层

#

在invoke方法中，构造转发给节点的 payload 时，系统将客户端请求中的params.params对象简单粗暴地序列化为JSON字符串，未做任何清洗。攻击者构造的恶意参数通过paramsJSON畅通无阻地传递给底层节点。

安全剖析： 在指令流转的中间层，系统依然缺失了安全兜底机制。程序仅通过序列化（JSON.stringify）对请求进行机械封装，导致携带恶意指令的“毒包裹”毫无阻碍地传递。

#

3、节点层

#

节点层通过decodeParams函数将网关转发来的paramsJSON字符串反序列化为 JavaScript对象。

代码逻辑显示，当params.approved === true时即可通过校验。

尽管系统存在requiresAsk的拦截分支，但由于approvedByAsk直接信任了客户端的approved字段，攻击者只需注入”approved”: true，即可使拦截逻辑失效，进而执行系统命令。

安全剖析： 这是攻击链条的最终引爆点。节点层犯了安全设计中的大忌——“轻信外部输入”。系统不仅未对关键参数溯源，反而将其作为执行依据，最终导致高危指令长驱直入。

#

三、漏洞复现

#

执行exp可以看到漏洞利用成功，顺利在node节点执行系统命令并返回执行结果。

#

四、漏洞危害：从单点突破到全局接管

#

该漏洞的破坏力不仅限于单台服务器。攻击者仅凭网关凭证，即可绕过system.run的审批机制，实现节点的完全接管。

• 核心数据窃取：攻击者可窃取节点中存储的凭证、API密钥、源代码等核心数据。
• 持续控制与后门：可植入后门或定时任务实现长期潜伏。
• 横向移动与破坏：利用被控节点作为跳板向内网横向移动，扩大攻击面；同时破坏节点部署的AI服务，直接威胁业务连续性与稳定性。

五、丈八网安实战防御与安全建议

#

面对此类针对AI Agent框架的高危漏洞，企业需从网络、系统、供应链等多个维度构建纵深防御体系。

1、网络与访问权限收敛

#

官方已在最新版本中修复了CVE-2026-28466 等漏洞，建议立即将 OpenClaw 升级至当前最新版。

• 网络隔离：针对已部署的 OpenClaw 实例，将网关绑定至127.0.0.1，通过防火墙策略仅允许可信管理 IP 访问。若暴露至公网，必须启用强身份认证。
• WebSocket校验：配置明确的可信域名列表（禁用通配符*），生产环境强制启用 mTLS 双向证书认证，防止中间人劫持。
• Token权限管控：实施最小权限 Token 作用域，强制Token 短期有效与自动轮换，并部署 Web 应用防火墙（WAF）拦截外部攻击。

2、系统部署与隔离运维

#

• 禁止Root运行：OpenClaw Agent 严禁以 root 用户运行，必须通过 Docker 或虚拟机实现环境隔离。
• 容器加固：容器配置需启用no-new-privileges防止提权，文件系统设为只读，限制 CPU、内存与进程数。严格控制/etc、/root等敏感目录的访问权限。

3、Skill 供应链与凭证安全

#

• 严格源审核：限定 Skill 安装来源，关闭自动更新。所有 Skill 上线前必须经过代码审计，并启用白名单机制。
• 凭证脱敏：API Key 严禁明文存储，应使用 Secrets Manager 统一保管，并建立定期轮换机制。日志必须进行脱敏处理，自动隐藏密钥信息。

4、日志审计与监控封控

#

• 全面日志记录：将日志统一接入 SIEM 或 ELK 等平台，对高风险操作（如system.run调用）实时触发告警。
• 节点沙箱强化：命令执行白名单仅放行业务必需指令（如whoami），严禁开放curl、bash -c等高危工具。高危操作应接入独立二次确认通道。
• 常态化巡检：每日检查 Token 使用量、Agent 执行记录，结合行为基线分析异常操作，联动应急响应预案。

#

5、日志审计安全配置

#

• 全面记录核心行为：日志审计是发现异常行为与安全事件的核心手段， 应全面记录用户操作、 Skill 调用及 API 访问等关键行为，为事后溯源提供完整依据。通过详细的操作日志可快速定位恶意 Skill 或异常命令， 及时发现潜在攻击。
• 集中分析与实时告警：将日志统一接入 SIEM 或 ELK 等集中审计平台，实现跨节点关联分析与长期留存；并结合异常告警机制，对高风险操作（如 system.run 调用、Token 异常使用）实时触发告警，确保安全事件能够被第一时间发现与处置。

6、 Node 节点安全配置

#

• 沙箱隔离与权限压制：Node 节点作为命令执行的最终载体，实施严格的沙箱隔离与权限压制。进程应以专用非特权用户运行，并通过 Docker 或轻量级虚拟机部署，启用 no-new-privileges 防止提权 ，挂载只读文件系统并限制 CPU、内存及进程数， 避免资源耗尽。命令执行白名单仅放行业务必需的指令（ whoami 、ls），严禁开放curl、wget、bash -c等高危工具。
• 强化认证与审计阻断：强化节点身份认证与审批防伪造，禁用不安全认证选项。节点侧对 高危操作应强制验证网关签名，并接入独立二次确认通道，确保任何命令执行均需显式批准。完整记录命令执行日志并推送至 SIEM 平台，建立行为基线，对异常时间、高频调用等偏离模式自动告警阻断。

7、安全监控与封控监控

#

• 常态化巡检基线：安全监控运维需建立常态化巡检机制， 每日检查 Token 使用量、Agent 任务执行记录、Skill 调用频率及网络外连地址，及时发现异常增长、 恶意调用或数据外传迹象。 每月应基于历史数据建立行为基线，通过 SIEM 平台分析偏离正常模式的操作， 识别潜在入侵行为。
• 指标联动应急响应：通过将监控指标与响应流程相结合，确保 Token 费用攻击、 恶意 Skill 滥用等风险能够在早期被识别，并联动应急响应预案进行处置，将安全事件的影响降至最低。

六、结语

#

OpenClaw远程代码执行漏洞的披露，再次为狂飙突进的AI Agent应用敲响了安全警钟。在追求智能化与自动化的同时，安全底座的稳固才是业务长治久安的前提。丈八网安将持续关注前沿网络安全威胁，通过真实靶场演练与深度技术剖析，赋能企业构建坚不可摧的数字防线。

参考资料:

https://github.com/advisories/GHSA-gv46-4xfq-jv58

https://nvd.nist.gov/vuln/detail/CVE-2026-28466

https://docs.openclaw.ai/gateway/protocol

·END·

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：丈八网安 《丈八网安技术研究：OpenClaw远程代码执行漏洞深度复现》