OpenClaw框架曝三处中危漏洞:提示词注入可篡改网关配置、窃取API密钥
安全研究人员在OpenClaw框架中发现了三处中危级别安全漏洞,这些漏洞可分别导致策略绕过、网关配置被篡改乃至潜在的主机劫持风险。开发团队已在2026年4月20日发布的版本中完成全线修复。
三处中危漏洞技术细节
此次披露的三个安全漏洞均已获得GitHub安全顾问标识编号:
第一处漏洞(GHSA-7jm2-g593-4qrc)涉及网关信任边界失效。该漏洞暴露了OpenClaw在处理Agent网关配置时的防护盲区。攻击者能够利用模型与操作员之间的信任关系实施防护绕过,通过模型侧的提示词注入改写敏感网关配置。值得注意的是,这类攻击并非传统意义上的远程未授权入侵,而是在实际生产环境中利用信任路径实施的策略绕过。尽管攻击路径相对受限,但任何能够改写网关安全策略的入口都可能演变为系统性风险。
第二处漏洞(GHSA-qrp5-gfw2-gxv4)位于MCP(模型上下文协议)与LSP(语言服务器协议)这类捆绑式工具的处理流程上。在受影响版本中,这些内置工具的加入时机存在逻辑缺陷——它们能够在系统应用核心过滤规则之后才被注入Agent的活跃工具集。这个时序差带来了严重后果:捆绑工具可绕过本地安全策略执行,相当于在安全防护网被织好之后才扎紧口袋。
第三处漏洞(GHSA-h2vw-2j9g4)涉及潜在的主机劫持风险。安全研究人员表示,该漏洞的具体技术细节将在后续适当时候披露,目前用户应及时升级到最新版本以消除这一风险。
漏洞发现与修复过程
这批漏洞由蚂蚁AI安全实验室在代码审计中发现。安全研究人员在其代码审计中发现了上述三处中危级别的安全缺陷。开发团队对此高度重视,在收到报告后快速响应,于4月20日发布的版本中完成了全线修复。
2026.4.20版本的补丁通过扩展操作员信任路径的拦截范围堵住了第一处漏洞的缺口。现在,所有由模型驱动的网关配置变更都会经过更严格的校验。同时,捆绑式工具的注入流程也被重新设计,确保在安全规则应用之前完成加载。
用户应立即行动
对于生产环境中仍在运行旧版本的用户,这次更新不是可选项,而是必须立即执行的安全动作。开发团队强烈建议所有用户尽快检查并升级到v2026.4.20或更高版本。
安全专家表示,随着AI Agent框架在企业生产环境中的广泛应用,此类安全审计将成为常态。OpenClaw团队表示将继续与安全研究人员合作,定期进行代码审计和渗透测试,确保框架的安全性。