Claw Chain:四个 OpenClaw 漏洞如何把 AI 智能体变成攻击者的双手
Cyera Research 于 2026 年 5 月 15 日公开披露的 Claw Chain,将四个已修复的 OpenClaw 漏洞——沙箱逃逸、环境变量泄露、MCP 回环提权、符号链接读取逃逸——串成一条经由智能体本身完成的主机完全接管链。
What is this?
2026 年 5 月 15 日,Cyera Research 公开发布 Claw Chain,披露 OpenClaw 中四个可串联的漏洞。OpenClaw 是当下增长最快的开源自主 AI 智能体平台之一。这四个漏洞(CVE-2026-44112、CVE-2026-44113、CVE-2026-44115、CVE-2026-44118)已于 2026 年 4 月报告给维护者,并在 OpenClaw 2026.4.22 版本于 2026 年 4 月 23 日修复,比公开披露提前三周。补丁对应 GitHub Security Advisory GHSA-5h3g-6xhh-rg6p、GHSA-wppj-c6mr-83jj、GHSA-r6xh-pqhr-v4xh 和 GHSA-x3h8-jrgh-p8jx。
单独看,这些 CVE 已经相当严重——最高得分达 9.6(严重)——但本文的编辑重点在于”链式利用”。攻击者只需通过一次提示注入、恶意插件或被污染的上游输入获得初始立足点,即可凭借智能体自身的权限一路打到主机级持久化。Cyera 评估在披露时,Shodan 显示约 65 000 个、Zoomeye 显示约 180 000 个公开可访问的 OpenClaw 实例。
How it works
OpenClaw 将一个 LLM 与文件系统、SaaS 应用、凭证以及一个名为 OpenShell 的执行沙箱连接起来。四个漏洞各自削弱了运行时其余部分所依赖的某一项保证:
- CVE-2026-44112 — 沙箱写入 TOCTOU 逃逸(CVSS 9.6)。 OpenShell 上的 time-of-check / time-of-use 竞争条件允许攻击者在校验通过之后,将一次已验证的写入重定向到沙箱之外的路径。
- CVE-2026-44115 — 执行白名单环境变量泄露(CVSS 8.8)。 通过校验的命令在 shell 中被再次展开,在未加引号的 heredoc 中暴露环境变量——API 密钥、令牌、机密——通过一条在校验时看似安全的命令将其外泄。
- CVE-2026-44118 — MCP 回环提权(CVSS 7.8)。 MCP 网关信任客户端控制的
senderIsOwner标志,而未将其与已认证会话进行验证。任何持有有效 bearer token 的本地进程都可借此自我提升为 owner。 - CVE-2026-44113 — 沙箱读取 TOCTOU 逃逸(CVSS 7.7)。 同一类竞争模式作用于读取:把已校验的路径替换为指向沙箱根之外的符号链接,智能体就会读取它本不应触及的文件。
Cyera 将攻击链描述为四步。第一步,立足点:通过插件、提示注入或被污染的输入,在 OpenShell 内取得代码执行。第二步,数据外泄 —— CVE-2026-44113 与 CVE-2026-44115 协同窃取机密和可达文件。第三步,权限提升 —— 利用 CVE-2026-44118 攻陷网关、cron 和执行环境的 owner 级控制。第四步,持久化 —— 利用 CVE-2026-44112 在沙箱之外写入后门,使其在重启后依然存活。
# 概念性攻击链 —— 仅作说明,不是利用代码
foothold := plugin | prompt_injection | poisoned_input
exfiltrate := read_escape (CVE-44113) + env_leak (CVE-44115)
escalate := senderIsOwner = true (CVE-44118)
persist := write_escape (CVE-44112) → 沙箱外的后门Why it matters
有三条经验比单一 CVE 更值得记住。
第一,智能体本身成了横向移动的原语。 Claw Chain 的每一步,对边界设备和 EDR 来说都像是正常的智能体活动。运行时只是在完成它被设计去做的事情——读文件、执行命令、调度任务——只不过输入是恶意的。没有异样的利用特征可供告警。
第二,TOCTOU 卷土重来,披着智能体沙箱的外衣。 四个 CVE 中有两个都是路径校验上的经典竞争条件——信息安全界追了三十年的老问题。新意在威胁模型本身:一个非人类、永不停歇的调用者(LLM)以机器速度生成文件系统操作,大幅压缩了 check / use 之间的时间窗口,为竞争创造了理想条件。
第三,MCP 的信任边界已成为真实的攻击面。 CVE-2026-44118 把客户端的声明当作事实。任何对外暴露类 MCP 本地网关的框架,如果没有把每一处特权位都绑定到服务端会话、而非调用者传来的标志,都会以同样的方式失守。
Defenses
由本次披露直接引申出的具体行动。
如果您正在运行 OpenClaw,请部署 2026.4.22 版本,以及上文列出的四份 GitHub advisory。视补丁部署前窗口内运行时可达的所有机密为潜在已泄露:轮换出现在 OpenShell 进程环境变量中的 API 密钥、bearer token 和凭证。盘点对外暴露的实例——Shodan 显示约有 65 000 个——并将其置于身份认证和网络控制之后。
对于任何智能体运行时,请把客户端提交的授权标志从信任边界中剔除。把 owner、角色和租户严格绑定到服务端的已认证会话。senderIsOwner 模式相当于在 Web 应用里信任 URL 参数 ?admin=true。
在 shell 调用中对环境变量展开进行加引号和隔离。一个能通过命令字符串审核、却无法控制 shell 在 heredoc 内如何展开变量的校验器,只是提供了白名单的幻觉。要么在校验层就拒绝 ${...} 和 $VAR 展开,要么完全禁止智能体发出的命令使用 heredoc。
消除 TOCTOU 窗口。文件描述符只打开一次,用 fstat 在该描述符上校验 inode,然后只在描述符上操作——绝不再次按路径打开。使用 O_NOFOLLOW 以及 openat2 的解析标志,拒绝任何穿越沙箱根的符号链接。
最后,把智能体当作特权身份而非工具。把它能访问的数据、凭证和 SaaS 系统收紧到必要的最小集合。对其网络进行分段。把每个插件、每条提示的活动写入带外日志接收端,这样被攻陷的运行时就无法改写自己的审计轨迹。
Status
| 项目 | 详情 |
|---|---|
| CVE | CVE-2026-44112、CVE-2026-44113、CVE-2026-44115、CVE-2026-44118 |
| 最高 CVSS | 9.6(严重) — CVE-2026-44112 |
| 向维护者报告 | 2026 年 4 月 |
| 修复 | OpenClaw 2026.4.22 — 2026 年 4 月 23 日 |
| 公开发布 | 2026 年 5 月 15 日(Cyera Research) |
| 受影响版本 | 2026.4.22 之前的所有版本 |
| 暴露实例 | 约 65 000(Shodan)· 约 180 000(Zoomeye) |
| GHSA | GHSA-5h3g-6xhh-rg6p、GHSA-wppj-c6mr-83jj、GHSA-r6xh-pqhr-v4xh、GHSA-x3h8-jrgh-p8jx |
| 报告者 | Cyera Research |
Sources
- → https://www.cyera.com/blog/claw-chain-cyera-research-unveil-four-chainable-vulnerabilities-in-openclaw
- → https://thehackernews.com/2026/05/four-openclaw-flaws-enable-data-theft.html
- → https://www.darkreading.com/application-security/claw-chain-vulnerabilities-threaten-openclaw
- → https://www.esecurityplanet.com/threats/openclaw-vulnerabilities-could-enable-full-ai-agent-takeover/
- → https://www.bankinfosecurity.com/patched-openclaw-flaw-let-hackers-hijack-ai-agents-a-31720
- → https://cybersecuritynews.com/openclaw-chain-vulnerabilities/