文章总结： OpenClaw开源AIAgent框架存在四个可链式利用的高危漏洞（CVE-2026-44112至44113），组合攻击可导致环境变量泄露、权限提升和持久化后门植入。全球约24.5万个公网暴露实例受影响，金融、医疗行业风险最高。修复方案包括立即升级至2026年4月23日后版本、轮换所有凭据及实施网络隔离。 综合评分： 87 文章分类： 漏洞分析,AI安全,威胁情报,安全建设,应急响应

OpenClaw 四漏洞链：24.5万个 AI Agent 服务器暴露在攻击之下

原创

小A 小A

黑白之道

2026年5月17日 08:04 江西

在小说阅读器读本章

去阅读

导语：2026年2月19日，单日报告23个漏洞，超过一半是严重级别。这个平台的运行日志正在成为黑客的藏宝图——API密钥、Telegram机器人令牌、私有SSH密钥、完整聊天记录，全部可以不经任何认证直接读取。安全研究者证明：一封精心构造的邮件，通过prompt injection（提示词注入），就能让这个平台的主人在毫不知情的情况下，把自己的私钥双手奉上。

五分钟理解 Claw Chain（新手必读）

什么是 OpenClaw？

OpenClaw是一个开源的AI Agent（智能体）运行框架。简单说：你给它一个大语言模型（LLM）、一些工具和权限，它就能自主完成一系列任务——比如自动回复客服消息、批量处理文件、操作数据库、调用第三方API。

它的危险在于：权限极大，监管极弱。 一个OpenClaw Agent通常可以读写文件系统、访问企业SaaS系统、持有API密钥和数据库凭据——而且这些操作是由AI自主决定的。

四个漏洞的组合效果有多强？

四个漏洞单独存在时，每一个都有一定危害。但组合在一起时，攻击者可以从一个立足点出发，同时完成四件事：

立足点（恶意插件/prompt注入）
    ↓
窃取：偷走环境变量中的API密钥 + 通过符号链接读取系统文件
提权：升级为Agent的owner级别控制权
持久化：写入后门，改变未来Agent行为

每一步都像是在”正常使用”Agent，安全日志里看不出异常。

能达到什么效果？

• 偷走所有环境变量：API密钥、数据库密码、OAuth令牌
• 读取Agent本不应该访问的系统文件
• 完全控制Agent的调度、配置和执行权限
• 植入后门，让所有未来的Agent行为都被攻击者操控
• 通过Agent已连接的SaaS系统横向移动

谁受影响？

任何在2026年4月23日之前部署的OpenClaw版本，且暴露在公网上的服务器。Shodan和ZoomEye共发现约24.5万个公网暴露实例。金融、医疗、法律行业的Agent部署风险最高——这些行业的Agent通常处理敏感客户数据（PII）和特权凭据。

名词速查表

| 术语 | 英文原文 | 中文解释 | | — | — | — | | OpenClaw（爪牙） | OpenClaw | 2025年底发布的开源AI Agent运行框架，原名Clawdbot。将大语言模型直接连接文件系统、SaaS应用和执行环境。 | | AI Agent（智能体） | AI Agent | 由大语言模型驱动的自主运行程序，可以感知环境、做出决策、执行操作，无需人工逐一步骤干预。 | | Claw Chain（爪链） | Claw Chain | Cyera安全研究团队为OpenClaw四个可链式漏洞起的代号，指攻击者从一个入口出发，串连利用多个漏洞完成复杂攻击。 | | TOCTOU（检查时和使用时竞态） | Time-of-Check-Time-of-Use | 在检查某个条件（如文件路径是否合法）和实际使用该条件之间，攻击者修改了条件内容。是Unix/Linux中最经典的漏洞类型之一。 | | 沙箱 | Sandbox | 一种安全隔离机制，限制程序能访问的资源（文件、网络、系统调用）。OpenShell沙箱是OpenClaw的安全边界。 | | prompt injection（提示词注入） | Prompt Injection | 通过精心构造输入文本，欺骗AI模型执行攻击者意图的操作。类似于传统软件中的SQL注入，但针对的是AI的”指令理解”能力。 | | CVE（通用漏洞披露） | Common Vulnerabilities and Exposures | 全球通用的漏洞编号系统，每个已公开的漏洞都会分配一个CVE编号。 | | CVSS（通用漏洞评分系统） | Common Vulnerability Scoring System | 对漏洞严重程度的量化评分，范围0-10分。9.0以上为严重（Critical），7.0-8.9为高危（High）。 | | Cyera（喜雅） | Cyera | 数据安全平台公司，2026年4月发现并报告了Claw Chain四个漏洞。 | | SSH（安全外壳协议） | Secure Shell | 加密远程登录协议，用于远程管理服务器。 | | API密钥 | API Key | 程序访问第三方服务时的身份凭证，相当于”密码”。一旦泄露，攻击者可以以该程序的身份访问服务。 | | OAuth令牌 | OAuth Token | 授权凭证，允许第三方应用代表用户访问资源。泄露后攻击者可 impersonate 合法用户。 | | 凭据 | Credentials | 用于身份验证的所有信息，包括密码、API密钥、证书、令牌等。 | | 后门 | Backdoor | 攻击者秘密植入的访问通道，允许绕过正常认证机制持续访问系统。 | | Shodan | Shodan | 互联网设备搜索引擎，可以扫描全球公网上暴露的所有联网设备和服务。 | | ZoomEye（钟馗之眼） | ZoomEye | 国内知名互联网设备搜索引擎，类似Shodan。 | | PII（个人可识别信息） | Personally Identifiable Information | 能唯一识别个人身份的信息，如姓名、身份证号、电话号码、住址等。 | | PHI（个人健康信息） | Protected Health Information | 受保护的健康信息，如病历、诊断结果、用药记录等。 | | GitHub | GitHub | 全球最大的代码托管平台，OpenClaw的主要代码托管地。 | | GitHub Advisory（GitHub安全公告） | GitHub Advisory | GitHub为开源项目发布的安全公告系统，GHSA是GitHub Security Advisory的编号前缀。 | | prompt injection（提示词注入） | Prompt Injection | 通过精心构造输入文本，欺骗AI模型执行攻击者意图的操作。 | | 插件 | Plugin | OpenClaw的扩展模块，为Agent增加新能力（如访问特定API、执行特定操作）。恶意插件是最常见的攻击入口。 | | bearer token（持有者令牌） | Bearer Token | 一种API认证令牌，”持有者”（谁有令牌谁就是合法调用者）。 |

第一章：四个漏洞，一条攻击链

Cyera的研究团队发现的四个漏洞，编号CVE-2026-44112至CVE-2026-44113，CVSS评分从7.7到9.6不等。单个看每一个都有危害，组合在一起才是真正的威胁。

漏洞一览

CVE-2026-44112（CVSS 9.6 · 严重）——TOCTOU文件系统写入逃逸

OpenShell沙箱内存在一个检查时间与使用时间之间的竞态条件（TOCTOU）。沙箱在检查一个写操作是否越界后，到实际执行写操作之间，攻击者可以修改目标路径，将数据写入沙箱边界之外。利用这个漏洞，攻击者可以篡改Agent配置文件，在宿主机上植入持久后门。

CVE-2026-44115（CVSS 8.8 · 高危）——执行允许列表环境变量泄露

OpenClaw有一个命令验证机制——在命令执行前检查它是否在白名单内。但验证结果和执行之间，通过heredoc（heredocument，一种shell多行文本传递语法）传递的环境变量在验证时”看起来安全”，实际执行时却被展开。攻击者可以通过未加引号的heredoc，让验证通过的”安全命令”泄露API密钥、token和凭据等环境变量。

通俗理解：安检员检查你的包时，里面确实没有违禁品；但等你过了安检门，同一个人又从包里掏出了违禁品。问题出在检查和实际使用不是同一个时刻。

CVE-2026-44118（CVSS 7.8 · 高危）——MCP回环权限提升

OpenClaw信任一个客户端控制的”所有权标志”（senderIsOwner），但从未将这个标志与已认证的会话进行交叉验证。拥有合法持有者令牌（bearer token）的本地进程，可以把自己提升为owner级别，获得对Agent网关配置、定时调度和执行环境的完全控制权。

CVE-2026-44113（CVSS 7.7 · 高危）——TOCTOU文件系统读取逃逸

与CVE-2026-44112类似的竞态条件，但作用在读取操作上。攻击者可以在路径验证后、文件读取前，将合法路径替换为指向系统文件的符号链接（symbolic link），从而读取Agent本不应该访问的系统文件和内部信息。

组合攻击链

四个漏洞的可怕之处在于组合效果。从任意一个立足点出发，攻击者可以同时触发窃取和提权两条并行路径：

立足点：恶意插件 / prompt注入 / 污染的外部输入
    ↓
窃取路径（并行触发）：
  CVE-2026-44113 → 通过符号链接读取系统文件、凭据
  CVE-2026-44115 → 通过heredoc泄露环境变量
    ↓
提权路径：
  CVE-2026-44118 → 升级为owner，完全控制Agent
    ↓
持久化路径：
  CVE-2026-44112 → 植入后门，修改未来Agent行为

每一步都像是Agent的”正常工作”——因为攻击者利用的就是Agent自己的权限和操作方式。

第二章：攻击入口——三种方式，一个起点

入口一：恶意插件

OpenClaw的插件系统允许第三方扩展Agent能力。一个精心构造的恶意插件，一旦被安装，就获得了在Agent沙箱内执行代码的权限。这是最简单、最直接的入口。

入口二：prompt injection（提示词注入）

这是目前AI安全领域最受关注的攻击向量之一。攻击者不需要直接访问OpenClaw的代码——只需要在某个用户输入、外部API响应或文档内容中，嵌入精心构造的prompt，让AI模型误以为这是来自”系统管理员”的指令。

安全研究者已经证明：仅凭一封精心构造的邮件，就能通过prompt injection让OpenClaw在毫不知情的情况下，把私有SSH密钥发送到攻击者控制的服务器。

入口三：受污染的供应链输入

OpenClaw通常连接大量外部数据源——数据库、API、消息队列、文件存储。如果任何一个上游数据源被攻击者控制，注入的恶意内容就顺着数据管道进入Agent的处理流程。

为什么检测这么难？

传统安全工具的检测逻辑基于”异常行为”——进程不该访问某个文件，网络不该连到某个地址。但Claw Chain攻击的特殊之处在于：攻击者利用的是Agent本身的合法权限和合法操作。

当Agent”正常地”读取一个文件时，安全日志显示的是正常的文件读取——你无法区分这是合法操作还是攻击者在通过Agent的手来拿文件。

第三章：24.5万暴露实例

扫描数据

截至2026年5月，两大数据安全搜索引擎的扫描结果：

| 搜索引擎 | 暴露实例数 | | — | — | | Shodan | ~65,000 | | ZoomEye | ~180,000 | | 合计 | 约245,000 |

约24.5万个OpenClaw服务器暴露在公网上，没有任何认证保护。

哪些行业最危险？

Cyera的研究团队明确指出风险最高的行业：

• 金融服务：Agent处理交易数据、账户凭据、支付系统API
• 医疗健康：Agent处理PHI（个人健康信息），访问电子病历系统
• 法律服务：Agent处理法律文档、客户敏感信息、案件数据

这些行业的共同特点是：Agent工作流处理的都是高价值敏感数据，且这些数据的泄露会带来监管处罚、声誉损失和法律责任。

国内预警

工信部已发布OpenClaw专项安全预警。国内安全厂商（绿盟科技、腾讯云、阿里云）均已发布技术分析文章和安全部署指南。

第四章：修复与紧急响应

补丁状态

所有四个漏洞已在2026年4月23日由OpenClaw维护者修复，对应四个GitHub安全公告（GHSA编号）：

| CVE | GHSA编号 | CVSS | 漏洞类型 | | — | — | — | — | | CVE-2026-44112 | GHSA-5h3g-6xhh-rg6p | 9.6 | 沙箱写入逃逸 | | CVE-2026-44115 | GHSA-wppj-c6mr-83jj | 8.8 | 环境变量泄露 | | CVE-2026-44118 | GHSA-r6xh-pqhr-v4xh | 7.8 | 权限提升 | | CVE-2026-44113 | GHSA-x3h8-jrgh-p8jx | 7.7 | 沙箱读取逃逸 |

紧急行动清单（24小时内）

第一步：立即打补丁。 升级到2026年4月23日或之后的版本。

第二步：轮换所有凭据。 假设所有环境变量和可被Agent进程访问的凭据已经泄露。API密钥、OAuth令牌、数据库密码——全部重新生成。

第三步：找出暴露实例。 用Shodan搜索或内部资产盘点，找到所有暴露在公网上的OpenClaw部署，立刻加上认证或防火墙保护。

第四步：审计Agent访问范围。 每个Agent能访问什么数据？能操作哪些系统？权限应该最小化，而不是默认全开。

长期加固

• 将Agent视为特权身份（service account），应用与服务账号相同的访问控制和生命周期管理
• 审计所有插件和供应链输入，限制插件安装权限，新插件需要安全审查
• 网络隔离：将OpenClaw部署放在独立网段，配置严格的出口控制，限制数据外传路径

尾声：AI Agent 安全的”成人礼”

OpenClaw的安全事件不是孤立的。2025年底到2026年初，短短几个月内：

• 近1000个暴露实例被安全研究员发现，无需认证即可访问
• 安全审计发现512个漏洞，其中8个高危
• ClawHub技能市场36%的插件存在安全缺陷
• 2月19日单日报告23个漏洞
• 工信部发布专项预警

这些数字说明一个事实：AI Agent的安全模型还没有成熟。开发者的注意力在功能上，不在安全上；企业的注意力在效率上，不在权限管控上；安全工具的注意力在传统IT上，不在AI自主行为上。

Claw Chain是AI Agent安全的一个”成人礼”——痛苦的、昂贵的，但必要的。攻击者已经开始把AI Agent当作新的攻击面，防御方不能再假装Agent与传统软件一样安全。

版权声明：本文由华盟网原创发布，保留所有权利。

👇 点击阅读原文，访问我的网站

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑白之道 小A 小A《OpenClaw 四漏洞链：24.5万个 AI Agent 服务器暴露在攻击之下》