OpenClaw 再爆安全漏洞:攻击者可悄无声息获取管理员权限
近期,风靡开发社区的 AI 代理工具 OpenClaw 曝出严重安全漏洞,再次引发业界对 AI 工具安全性的深度担忧。这款自去年 11 月推出、已在 GitHub 上获得 34.7 万星标 的工具,因其强大的自动化能力而迅速走红,但随之而来的安全风险也日益凸显。
漏洞详情:从最低权限到完全控制
本周初,OpenClaw 开发团队紧急发布了针对三个高危漏洞的安全补丁。其中,编号为 CVE-2026-33579 的漏洞尤为严重,其 CVSS 评分在 8.1 至 9.8 之间(满分 10 分),具体数值取决于采用的评估标准。
漏洞的核心机制:攻击者仅需拥有最低级别的配对权限(operator.pairing 范围),即可在无需任何额外用户交互的情况下,静默批准请求管理员权限(operator.admin 范围)的设备配对申请。一旦批准通过,攻击设备便获得了对该 OpenClaw 实例的完全管理员访问权限。
AI 应用构建平台 Blink 的研究人员指出:“实际影响极为严重。攻击者无需二次利用,也无需用户进一步操作,即可实现权限升级。对于将 OpenClaw 作为公司级 AI 代理平台运行的组织而言,一个被攻破的 operator.admin 设备可以:
- 读取所有已连接的数据源
- 窃取存储在代理技能环境中的凭证
- 执行任意工具调用
- 横向移动到其他连接的服务
用‘权限提升’来形容此漏洞都显得轻描淡写——其结果是完整的实例接管。”
OpenClaw 的设计与固有风险
OpenClaw 的设计初衷是接管用户计算机,并与 Telegram、Discord、Slack、本地及共享网络文件、账户、登录会话等多种资源交互,以协助完成文件整理、在线研究、购物等一系列任务。为了实现其效用,它需要尽可能广泛的访问权限。这种“以用户身份行事”的设计,本身就意味着它继承了用户的所有权限和能力边界,一旦被滥用或出现漏洞,后果不堪设想。
行业警示:AI 代理工具的安全挑战
此次漏洞事件并非孤例。过去一个多月,安全从业者已多次警告使用 OpenClaw 等 AI 代理工具的风险。它集中体现了当前 AI 工具,特别是具备高度自主性和广泛系统访问能力的代理(Agent)类工具,所面临的核心安全困境:
- 权限边界模糊:为了完成复杂任务,工具往往需要过度授权,这与最小权限安全原则背道而驰。
- 攻击面扩大:连接的外部服务(如通讯软件、云存储)越多,潜在的入侵点也越多。
- 隐蔽性高:如本次漏洞所示,攻击可在用户毫无察觉的情况下发生,数据泄露和系统控制权的丧失可能为时已晚才被发现。
尽管漏洞现已修复,但考虑到 OpenClaw 的广泛部署,可能有成千上万的实例在用户不知情的情况下早已遭受入侵。这为所有依赖类似 AI 代理技术的企业和开发者敲响了警钟。
小结:在便利与安全之间寻求平衡
OpenClaw 的案例清晰地表明,AI 能力的飞速发展必须与同等力度的安全建设并行。开发者在追求功能强大和用户体验流畅的同时,必须将安全架构设计、严格的权限审查和持续的漏洞监控置于核心地位。对于用户和组织而言,在采用此类工具时,务必评估其安全记录,遵循最小权限原则配置访问,并及时更新补丁。在 AI 代理日益融入工作流的今天,安全已不再是可选项,而是保障技术红利不被反噬的基石。