文章总结： 安全研究人员在开源AIAgent框架OpenClaw中发现六个高危漏洞，包括SSRF、认证绕过和路径遍历等类型，这些漏洞可被利用以暴露内部服务或云元数据。EndorLabs团队通过AI驱动的静态应用安全测试引擎追踪不可信数据流，并已发布可用PoC。OpenClaw官方随后发布了补丁和安全公告。 综合评分： 85 文章分类： AI安全,漏洞分析,应用安全,安全工具,渗透测试

OpenClaw AI框架曝出六大高危漏洞，含SSRF与认证绕过风险

FreeBuf

2026年2月21日 12:31 江苏

#

安全研究人员在开源AI Agent框架OpenClaw中发现六个高危漏洞，该框架被业界称为”AI Agent的社交媒体平台”。Endor Labs团队通过AI驱动的静态应用安全测试（SAST）引擎，追踪了不可信数据在框架各层的流转路径，最终暴露出包括服务端请求伪造（SSRF）、认证绕过和路径遍历在内的可被利用缺陷。

#

Part01

漏洞类型与危害分析

这些漏洞横跨多个Web安全领域，影响结合了大型语言模型（LLMs）、工具执行与外部集成的复杂Agent系统。研究人员已发布所有漏洞的可用PoC，证实其实际可被利用。OpenClaw官方随后发布补丁和安全公告。

Endor Labs按漏洞类型和单独严重性（而非CVE编号）对六大漏洞进行分类披露：

SSRF类漏洞

涉及三个不同组件：网关组件（CVSS 7.6）允许用户提供URL建立出站WebSocket连接；Urbit认证模块SSRF（CVSS 6.5）；图像工具SSRF（CVSS 7.6）。这些漏洞可能暴露内部服务或云元数据端点，危害程度取决于具体部署环境。

访问控制缺陷

包括Telnyx webhook处理器缺乏有效验证机制（CVSS 7.5），允许来自不可信源的伪造请求；Twilio功能存在认证绕过漏洞（CVSS 6.5），未授权用户可调用受保护接口。

路径遍历漏洞

浏览器文件上传处理中存在路径净化不足问题（未分配CVSS评分），可能导致文件写入非预期目录。

Part02

AI驱动的漏洞挖掘方法

为突破传统静态分析工具在现代软件栈中的局限性（输入数据需经多重转换才到达危险操作），Endor Labs采用AI SAST方案保持跨转换过程的上下文关联。测试引擎完整映射了”不可信数据”从HTTP参数、配置值等入口点到网络请求/文件操作等安全敏感”汇聚点”的完整路径。

研究人员表示：”AI分析与系统性人工验证的结合，为保护AI基础设施提供了可行方案。随着AI Agent框架在企业环境普及，安全分析必须同时应对传统漏洞和AI特有攻击面。”

Endor Labs已向OpenClaw维护团队披露漏洞，相关修复措施已在受影响组件中实施。

参考来源：

Six flaws found hiding in OpenClaw’s plumbing

https://www.csoonline.com/article/4134540/six-flaws-found-hiding-in-openclaws-plumbing.html

#

#

#

推荐阅读

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《OpenClaw AI框架曝出六大高危漏洞，含SSRF与认证绕过风险》