在AI Agent框架快速普及的今天,各类开源Agent架构如同企业业务的神经网络,被广泛应用于流程自动化、智能调度与网关控制等关键场景。AI在大幅提升生产效率的同时,其安全性也直接关系到企业核心业务的命脉与系统的最高权限。
近期,业界广泛使用的开源AI Agent框架OpenClaw(业内俗称“龙虾”)被披露存在高危远程代码执行漏洞(编号:CVE-2026-28466,CVSS 评分高达惊人的 9.4 分)。攻击者只需利用其网关极其简单的逻辑缺陷,就能绕过节点审批机制,直接实现远程代码执行,甚至完全接管目标服务器。
面对如此高危的前沿漏洞,它的触发机制究竟是什么?企业又该如何在不影响生产的前提下进行防御演练?为了深度剖析该漏洞的触发原理与危害机理,丈八的安全技术人员借助丈八网络靶场平台,构建了高仿真的网络环境,将抽象的威胁转化为可复现、可操作的攻防实战场景。
本次披露的OpenClaw高危漏洞(影响版本:OpenClaw < 2026.2.14),其本质是一个典型的输入验证失效漏洞。
该漏洞源于网关在转发指令时未对参数进行任何过滤。具体而言,当网关在转发`node.invoke`请求时,未对用户传入的参数进行安全性检查,导致攻击者仅需在正常的命令请求中注入一个"approved": true字段,即可完全绕过节点审批机制,在Node节点上执行任意系统命令。
攻防实战:漏洞复现与深层原理剖析
一、环境构建
为了真实还原攻击者的入侵路径,丈八网安技术团队在“丈八网络靶场平台”上进行了沉浸式的技术演练。该场景完整包含了终端、交换机、网关及 Node 节点等,通过拖拉拽的操作快速完成了高仿真网络环境的构建。
通过平台内置的【网络仿真】应用,安全研究人员灵活地设计了目标网络架构。这种可视化的靶场环境,不仅能直观拆解前沿漏洞的攻击手法,更能助力技术人员在实战中提升防御能力。
二、漏洞原理深度拆解
OpenClaw漏洞的触发链条主要分为三个层级,每一个层级的失守最终导致了防线的全面崩溃。
1、网关层
node.invoke处理器首先通过
validateNodeInvokeParams对客户端传入的params进行格式校验,但并未对params对象内部的具体字段进行任何过滤和安全性检查。
处理器在转发请求前,仅仅检查了顶层的command字段是否在白名单中,完全忽略了内层params对象的内容。
随后,处理器直接调用
context.nodeRegistry.invoke,将携带恶意参数的请求放行。
安全剖析: 网关层仅进行了浅层的格式与命令校验,未对核心参数进行深度过滤,导致携带伪造审批标识的恶意请求被直接放行至节点层。
2、节点注册层
在invoke方法中,构造转发给节点的 payload 时,系统将客户端请求中的params.params对象简单粗暴地序列化为JSON字符串,未做任何清洗。攻击者构造的恶意参数通过paramsJSON畅通无阻地传递给底层节点。
安全剖析: 在指令流转的中间层,系统依然缺失了安全兜底机制。程序仅通过序列化(`JSON.stringify`)对请求进行机械封装,导致携带恶意指令的“毒包裹”毫无阻碍地传递。
3、节点层
节点层通过decodeParams函数将网关转发来的paramsJSON字符串反序列化为 JavaScript对象。
代码逻辑显示,当params.approved === true时即可通过校验。
尽管系统存在requiresAsk的拦截分支,但由于approvedByAsk直接信任了客户端的approved字段,攻击者只需注入"approved": true,即可使拦截逻辑失效,进而执行系统命令。
安全剖析: 这是攻击链条的最终引爆点。节点层犯了安全设计中的大忌——“轻信外部输入”。系统不仅未对关键参数溯源,反而将其作为执行依据,最终导致高危指令长驱直入。
三、漏洞复现
执行exp可以看到漏洞利用成功,顺利在node节点执行系统命令并返回执行结果。
四、漏洞危害:从单点突破到全局接管
该漏洞的破坏力不仅限于单台服务器。攻击者仅凭网关凭证,即可绕过system.run的审批机制,实现节点的完全接管。
• 核心数据窃取:攻击者可窃取节点中存储的凭证、API密钥、源代码等核心数据。
• 持续控制与后门:可植入后门或定时任务实现长期潜伏。
• 横向移动与破坏:利用被控节点作为跳板向内网横向移动,扩大攻击面;同时破坏节点部署的AI服务,直接威胁业务连续性与稳定性。
五、丈八网安实战防御与安全建议
面对此类针对AI Agent框架的高危漏洞,企业需从网络、系统、供应链等多个维度构建纵深防御体系。
1、网络与访问权限收敛
官方已在最新版本中修复了CVE-2026-28466 等漏洞,建议立即将 OpenClaw 升级至当前最新版。
• 网络隔离:针对已部署的 OpenClaw 实例,将网关绑定至127.0.0.1,通过防火墙策略仅允许可信管理 IP 访问。若暴露至公网,必须启用强身份认证。
• WebSocket校验:配置明确的可信域名列表(禁用通配符*),生产环境强制启用 mTLS 双向证书认证,防止中间人劫持。
• Token权限管控:实施最小权限 Token 作用域,强制Token 短期有效与自动轮换,并部署 Web 应用防火墙(WAF)拦截外部攻击。
2、系统部署与隔离运维
• 禁止Root运行:OpenClaw Agent 严禁以 root 用户运行,必须通过 Docker 或虚拟机实现环境隔离。
• 容器加固:容器配置需启用no-new-privileges防止提权,文件系统设为只读,限制 CPU、内存与进程数。严格控制/etc、/root等敏感目录的访问权限。
3、Skill 供应链与凭证安全
• 严格源审核:限定 Skill 安装来源,关闭自动更新。所有 Skill 上线前必须经过代码审计,并启用白名单机制。
• 凭证脱敏:API Key 严禁明文存储,应使用 Secrets Manager 统一保管,并建立定期轮换机制。日志必须进行脱敏处理,自动隐藏密钥信息。
4、日志审计与监控封控
• 全面日志记录:将日志统一接入 SIEM 或 ELK 等平台,对高风险操作(如system.run调用)实时触发告警。
• 节点沙箱强化:命令执行白名单仅放行业务必需指令(如whoami),严禁开放curl、bash -c等高危工具。高危操作应接入独立二次确认通道。
• 常态化巡检:每日检查 Token 使用量、Agent 执行记录,结合行为基线分析异常操作,联动应急响应预案。
5、日志审计安全配置
• 全面记录核心行为:日志审计是发现异常行为与安全事件的核心手段, 应全面记录用户操作、 Skill 调用及 API 访问等关键行为,为事后溯源提供完整依据。通过详细的操作日志可快速定位恶意 Skill 或异常命令, 及时发现潜在攻击。
• 集中分析与实时告警:将日志统一接入 SIEM 或 ELK 等集中审计平台,实现跨节点关联分析与长期留存;并结合异常告警机制,对高风险操作(如 system.run 调用、Token 异常使用)实时触发告警,确保安全事件能够被第一时间发现与处置。
6、 Node 节点安全配置
• 沙箱隔离与权限压制:Node 节点作为命令执行的最终载体,实施严格的沙箱隔离与权限压制。进程应以专用非特权用户运行,并通过 Docker 或轻量级虚拟机部署,启用 no-new-privileges 防止提权 ,挂载只读文件系统并限制 CPU、内存及进程数, 避免资源耗尽。命令执行白名单仅放行业务必需的指令( whoami 、ls),严禁开放curl、wget、bash -c等高危工具。
• 强化认证与审计阻断:强化节点身份认证与审批防伪造,禁用不安全认证选项。节点侧对 高危操作应强制验证网关签名,并接入独立二次确认通道,确保任何命令执行均需显式批准。完整记录命令执行日志并推送至 SIEM 平台,建立行为基线,对异常时间、高频调用等偏离模式自动告警阻断。
7、安全监控与封控监控
• 常态化巡检基线:安全监控运维需建立常态化巡检机制, 每日检查 Token 使用量、Agent 任务执行记录、Skill 调用频率及网络外连地址,及时发现异常增长、 恶意调用或数据外传迹象。 每月应基于历史数据建立行为基线,通过 SIEM 平台分析偏离正常模式的操作, 识别潜在入侵行为。
• 指标联动应急响应:通过将监控指标与响应流程相结合,确保 Token 费用攻击、 恶意 Skill 滥用等风险能够在早期被识别,并联动应急响应预案进行处置,将安全事件的影响降至最低。
六、结语
OpenClaw远程代码执行漏洞的披露,再次为狂飙突进的AI Agent应用敲响了安全警钟。在追求智能化与自动化的同时,安全底座的稳固才是业务长治久安的前提。丈八网安将持续关注前沿网络安全威胁,通过真实靶场演练与深度技术剖析,赋能企业构建坚不可摧的数字防线
参考资料:
https://github.com/advisories/GHSA-gv46-4xfq-jv58
https://nvd.nist.gov/vuln/detail/CVE-2026-28466
https://docs.openclaw.ai/gateway/protocol
