文章总结: 研究人员披露OpenClawAI助手中三个高严重性漏洞(GHSA-hjr6-g723-hmfm、GHSA-9969-8g9h-rxwm、GHSA-575v-8hfq-m3mc),包括操作系统命令注入和路径遍历,可被利用通过WhatsApp消息触发主机代码执行、凭证盗窃和权限升级。漏洞已在2026.6.6版本修复,建议更新并启用沙箱模式、限制工具允许列表。 综合评分: 85 文章分类: 漏洞分析
研究人员详细介绍了利用 OpenClaw 三个漏洞实现 WhatsApp 到主机攻击链的过程
鹏鹏同学 鹏鹏同学
黑猫安全
2026年7月13日 09:16 湖北
在小说阅读器读本章
去阅读
关于OpenClaw个人人工智能(AI)助手中现已修补的三个安全漏洞的细节浮出水面,如果成功利用,可能导致凭证盗窃、权限升级以及对主机的任意代码执行。
对这些高严重性漏洞的简要描述如下——
-
GHSA-hjr6-g723-hmfm
(CVSS 评分:8.8)——操作系统命令注入和不完整的不允许输入列表漏洞,影响主机执行环境过滤机制,可能导致执行或持久执行超出调用者预授权范围的操作。
-
GHSA-9969-8g9h-rxwm
(CVSS 评分:8.8)——操作系统命令注入和不完整的不允许输入列表漏洞,影响主机执行环境过滤机制,可能导致执行或持久执行超出调用者预授权范围的操作。
-
GHSA-575v-8hfq-m3mc
(CVSS 评分:8.4)——一个路径遍历和链路跟踪的漏洞,可能允许沙箱绑定挂载绕过父目录的拒绝列表检查,执行本应通过更强授权或策略检查来保护的操作。
这三个缺点均在 OpenClaw 2026.6.6 版本中得到解决。
在上周发布的一系列公告中,OpenClaw维护者表示,“实际影响取决于运营商的配置以及低信任度输入是否能达到该路径。”
然而,安全研究员Chinmohan Nayak(被认为发现并报告了这些问题)在与《黑客新闻》分享的一份报告中表示,这些漏洞可以用来通过WhatsApp发送的外部消息触发主机代码执行。
与Cyera今年五月披露的Claw Chain漏洞不同,这些新发现的漏洞不需要攻击者先建立立足点即可提取敏感数据、放置持久后门、获得任意远程代码执行,并协助逃逸到主机。
“’getBlockedReasonForSourcePath()’检查源路径是否处于阻塞路径之下,”这位研究人员解释了GHSA-575v-8hfq-m3mc。“但它从不反向检查——被阻挡的路径是否位于源(父目录绕过)之下。”
具体来说,绑定挂载拒绝列表会阻挡像“~/.ssh”、“~/.aws”和“~/.gnupg”这样的目录,但允许挂载父目录“/home”或“/var”,从而有效地削弱了单个块的使用。
“将 /home 挂载到你的容器中,你就能读取每个用户的 SSH 密钥、AWS 凭证和 GPG 机密,”Nayak 说。“挂载 /var 就能获得 Docker socket——这意味着完全脱离’沙箱’内部的主机。”
除了将 OpenClaw 更新到最新版本外,建议为所有非主会话启用沙箱模式,将“exec”从面向通道代理的工具允许列表中移除,并监控包含“ext::”外部协议辅助工具的 git 克隆命令,避免被滥用以运行任意系统命令。
OpenClaw表示:“升级前,将受影响功能限制在可信运营商之间,或在不需要时禁用该功能。”“作为一般的加固措施,保持通道和工具允许列表的范围,避免在互不信任的用户之间共享同一个网关,并在不需要时禁用受影响的功能。”
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:黑猫安全 鹏鹏同学 鹏鹏同学《研究人员详细介绍了利用 OpenClaw 三个漏洞实现 WhatsApp 到主机攻击链的过程》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论