OpenClaw高危漏洞集中爆发：2026年一季度82个漏洞分析与官方修复指南

威胁简报

恶意软件与漏洞攻击

工业和信息化部网络安全威胁和漏洞信息共享平台曾在2月5日发布预警，指出在某些不当配置下，易引发网络攻击、信息泄露及系统被控等风险。中国信息通信研究院副院长魏亮强调：即使在升级到最新版本后，仍然存在残余风险，包括自主决策、技能市场审核缺失、信任边界模糊等问题。他建议党政机关、企事业单位及个人用户审慎评估使用，并及时向相关平台报送发现的漏洞或威胁。

主流安全媒体如 FreeBuf、安全客（Anquanke）等近期也报道了多起相关生态安全事件。报道中提到的事件类型包括远程代码执行（RCE）漏洞、Skill供应链投毒、恶意 npm 包（例如伪装成 CLI 工具窃取数据的 GhostClaw）、零点击 WebSocket 劫持（恶意网站可静默接管 Agent）以及 GitHub 复刻仓库投毒等。据统计，公网暴露的相关实例已超过 46 万个，其中高危实例占比高达 27.2%。对于企业和开发者而言，加强渗透测试与常态化的安全审计至关重要。

漏洞统计（CNNVD 与 CNVD 数据）

根据国家信息安全漏洞库（CNNVD）的统计数据，从 2026 年 1 月到 3 月 9 日，共采集到与 OpenClaw 相关的漏洞 82 个。按危害等级划分，其中超危漏洞 12 个，高危漏洞 21 个，中危漏洞 47 个，低危漏洞 2 个。漏洞类型主要涉及访问控制错误、代码问题、路径遍历、命令注入、拒绝服务、资源管理错误等。受影响的版本覆盖了多个历史版本。

国家信息安全漏洞共享平台（CNVD）近期密集收录了一批 OpenClaw 漏洞，尤其集中在 2026 年 3 月 11 日至 13 日披露的高危和中危条目。以下为筛选出的高危级别（High）漏洞列表（基于危害级别明确为“高”或对应高危描述的 CNVD 数据整理，时间以披露/收录日期为准）：

• OpenClaw 远程代码执行漏洞 —— 高危，2026-03-12
• OpenClaw 拒绝服务漏洞（CNVD-2026-13554） —— 高危，2026-03-12
• OpenClaw 操作系统命令注入漏洞（CNVD-2026-13372） —— 高危，2026-03-12
• OpenClaw 拒绝服务漏洞（CNVD-2026-13800） —— 高危，2026-03-12
• OpenClaw 存在未明漏洞（CNVD-2026-13375） —— 高危，2026-03-12
• OpenClaw 操作系统命令注入漏洞（CNVD-2026-13373） —— 高危，2026-03-12
• OpenClaw 存在未明漏洞（CNVD-2026-13371） —— 高危，2026-03-12（典型表现为 tools.exec.safeBins 验证绕过，可导致任意代码执行）
• OpenClaw 命令注入漏洞（CNVD-2026-13801） —— 高危，2026-03-12
• OpenClaw 访问控制错误漏洞（CNVD-2026-13408） —— 高危，2026-03-13
• OpenClaw 存在未明漏洞（CNVD-2026-13596） —— 高危，2026-03-13
• OpenClaw 存在未明漏洞 —— 高危，2026-03-11
• OpenClaw 操作系统命令注入漏洞（CNVD-2026-13291） —— 高危，2026-03-11
• OpenClaw 访问控制错误漏洞（CNVD-2026-13431） —— 高危，2026-03-11
• OpenClaw 服务端请求伪造漏洞 —— 高危，2026-03-11
• OpenClaw 代码问题漏洞 —— 高危，2026-03-11
• OpenClaw 数据伪造问题漏洞 —— 高危，2026-03-11
• OpenClaw 路径遍历漏洞（CNVD-2026-13427） —— 高危，2026-03-12
• OpenClaw 跨站请求伪造漏洞 —— 高危，2026-03-12
• OpenClaw 命令注入漏洞 —— 高危，2026-03-12
• OpenClaw 权限提升漏洞 —— 高危，2026-03-12
• OpenClaw 服务器端请求伪造漏洞（CNVD-2026-14004） —— 高危，2026-03-12

注： 部分标注为“存在未明漏洞”的条目，在实际的 CNVD/NVD 相关分析中被明确指向命令注入、RCE 或访问控制绕过等高危利用路径。此外，知名的高危案例还包括 CVE-2026-25253（CVSS 评分 8.8，属于跨站 WebSocket 劫持，可通过恶意链接实现一键 RCE 或令牌窃取，已在早期版本修复）以及其他命令注入、路径遍历相关的 CNVD 条目。定期关注并分析这些漏洞情报，是安全运维工作的重要组成部分。

官方修复与更新动态

面对密集披露的漏洞，OpenClaw 官方通过 GitHub Releases 渠道进行了快速响应。在 2026年2月23日及后续发布的版本中（包括 2026年3月13日的紧急安全更新），官方引入了一系列安全加固措施，例如新增了关键的 HTTP 安全响应头、加强了会话清理机制、引入了磁盘配额控制功能，并将浏览器的服务器端请求伪造（SSRF）策略默认调整为更严格的 “trusted-network” 模式。

目前，上述列表中提及的多个高危漏洞已在最新的官方 Release 版本中得到修复。我们强烈建议所有 OpenClaw 用户立即采取行动：运行官方提供的诊断与修复工具（例如执行命令 openclaw doctor --fix），并尽快将您的 OpenClaw 实例升级到最新的稳定版本。

对于希望深入探讨此类安全话题或获取更多技术资源的开发者，可以关注 云栈社区 中的相关板块，与其他安全爱好者交流最新的攻防技术与实践心得。