OpenClaw 给用户带来了另一个对安全性感到恐惧的理由
一个多月以来,安全从业者一直在警告使用 OpenClaw 的危险,OpenClaw 是一种病毒式 AI 代理工具,已经席卷了开发社区。最近修复的一个漏洞提供了一个具体的教训来说明原因。
OpenClaw,于 11 月推出,现在拥有347,000 颗星星在 Github 上,通过设计可以控制用户的计算机并与其他应用程序和平台交互,以协助完成一系列任务,包括组织文件、进行研究和在线购物。为了发挥作用,它需要访问(而且是大量的)尽可能多的资源。Telegram、Discord、Slack、本地和共享网络文件、帐户和登录会话只是一些预期资源。一旦授予访问权限,OpenClaw 就会按照用户的方式精确行事,并具有相同的广泛权限和功能。
严重影响
本周早些时候,OpenClaw 开发人员发布了针对三个高严重性漏洞的安全补丁。特别是其中一个的严重程度,CVE-2026-33579的评分从 8.1 到 9.8 分(满分 10 分),具体取决于所使用的指标,并且有充分的理由。它允许任何具有配对权限(最低级别的权限)的人获得管理状态。这样,攻击者就可以控制 OpenClaw 实例所使用的任何资源。
“实际影响是严重的”,人工智能应用程序构建者 Blink 的研究人员写道。– 已经拥有operator.pairing范围(OpenClaw部署中最低的有意义权限)的攻击者可以默默地批准要求operator.admin范围的设备配对请求。一旦批准通过,攻击设备就拥有对 OpenClaw 实例的完全管理访问权限。不需要二次利用。除了初始配对步骤之外,无需用户交互。 –
该帖子继续说道:“对于将 OpenClaw 作为全公司范围的 AI 代理平台运行的组织来说,受感染的 Operator.admin 设备可以读取所有连接的数据源、窃取存储在代理技能环境中的凭据、执行任意工具调用以及转向其他连接的服务。“权限升级”这个词低估了这一点:结果是完全实例接管。