文章总结： 飓风安全发现OpenClaw高危漏洞，OpenShell镜像模式存在路径遍历漏洞，攻击者可通过控制配置参数导致远程服务器任意目录文件被删除。受影响版本为openclawnpm包<=2026.4.1，已修复版本>=2026.4.2，建议立即升级至安全版本。 综合评分： 85 文章分类： 漏洞分析,漏洞预警,解决方案,应急响应,WEB安全

飓风安全发现OpenClaw高危漏洞

jufeng jufeng

飓风网络安全

2026年4月9日 18:40 北京

近日，飓风安全发现OpenClaw漏洞，并第一时间向OpenClaw官方报告漏洞细节

其中OpenShell镜像模式可导致远程服务器任意目录的文件被删除已获官方确认（安全公告GHSA-m34q-h93w-vg5x），飓风安全全程协助OpenClaw完成相关修复工作。

漏洞等级:

高危

漏洞危害:

如果攻击者能够影响这些 OpenShell 配置值，镜像同步可能会删除非预期远程目录的内容，并将其替换为上传的工作区数据。这是镜像同步路径中的一个破坏性远程路径漏洞。

OpenShell 镜像后端允许设置任意的绝对路径作为 remoteWorkspaceDir 和 remoteAgentWorkspaceDir,如果攻击者能控制这些配置，镜像同步操作（清理和覆盖）就会针对这些非预期的路径执行，导致远程服务器上任意目录的文件被删除。

受影响的软件包/版本

软件包：openclaw (npm)

受影响版本：<= 2026.4.1

已修复版本：>= 2026.4.2

最新已发布的 npm 版本：2026.4.1

修复方案:

立即升级openclaw npm包

你需要将项目中使用的 openclaw 包升级到包含修复补丁的版本。

受影响版本： <= 2026.4.1

修复版本： >= 2026.4.2

参考链接:

https://github.com/openclaw/openclaw/security/advisories/GHSA-m34q-h93w-vg5x

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：飓风网络安全 jufeng jufeng《飓风安全发现OpenClaw高危漏洞》