資安公司 Cyera 近日揭露 AI 自主代理軟體 OpenClaw 的四項安全漏洞,研究人員將其命名為「Claw Chain」。這些漏洞可被串聯利用,使攻擊者能在目標系統上建立立足點、竊取敏感資料並植入後門。OpenClaw 已於 2026 年 4 月 23 日發布修補程式,
所有漏洞均在 2026.4.22 版本中獲得修復。
漏洞概況
四項漏洞由資安研究人員 Vladimir Tokarev 發現並通報,影響所有於 2026 年 4 月 23 日修補前發布的 OpenClaw 版本。
CVE-2026-44112(CVSS:9.6)為嚴重等級漏洞,存在於 OpenShell 受管理沙箱後端的 TOCTOU(Time-of-Check/Time-of-Use)競態條件。攻擊者可藉此繞過沙箱限制,將寫入操作重新導向至預定掛載根目錄之外,進而竄改設定、植入後門,並建立對受害主機的持久控制。
CVE-2026-44113(CVSS:7.7)同樣是 OpenShell 中的 TOCTOU 競態條件漏洞,允許攻擊者將安全檔案路徑替換為符號連結,繞過沙箱限制,讀取預定掛載根目錄以外的檔案,可被用來存取系統檔案、憑證及內部資產。
CVE-2026-44115(CVSS:8.8)屬於不完整的禁用輸入清單漏洞。攻擊者可在 here document(heredoc)本體中嵌入 shell expansion tokens,繞過允許清單驗證,於執行階段執行未經核准的指令,進而洩露內部設定、API 金鑰及密碼憑證。
CVE-2026-44118(CVSS:7.8)為不當存取控制漏洞。本機回送客戶端可操控名為 senderIsOwner 的驗證旗標,冒充擁有者身分提升權限,取得對閘道設定、排程任務(cron scheduling)及執行環境管理的控制權。Cyera 指出,此漏洞的根本原因在於 OpenClaw 信任由客戶端控制的 senderIsOwner 旗標,卻未與已驗證的 Session 進行比對確認。
攻擊鏈執行流程
Claw Chain 攻擊鏈概括為四個步驟:
- 首先,惡意外掛程式、提示注入或遭入侵的外部輸入在 OpenShell 沙箱內取得程式碼執行權限
- 接著利用 CVE-2026-44113 與 CVE-2026-44115 竊取憑證、機密資訊及敏感檔案
- 再透過 CVE-2026-44118 取得代理執行環境的擁有者層級控制權
- 最後藉由 CVE-2026-44112 植入後門或修改設定,以建立持久化存取
Cyera 指出,攻擊者會沿著這條攻擊鏈「利用代理自身的權限,在資料存取、權限提升與持久化攻擊間逐步推進,以代理作為在環境中行動的雙手」。由於每個步驟對傳統控管機制而言看似正常的代理行為,因此偵測難度大幅提升。
影響範圍
OpenClaw 原於 2025 年底以 Clawdbot 為名推出,協助企業將 AI 程式直接連接至內部檔案、Telegram 等通訊應用程式,以及 Microsoft Agent 365 等辦公系統,以自動化業務流程。根據 2026 年 5 月的研究,目前暴露於公開網際網路的 OpenClaw 伺服器數量介於 65,000 至 180,000 台之間;其中以該軟體處理客服或 IT 支援的企業風險最高,包括處理個人隱私資料的銀行與醫療機構。目前尚無特定威脅行為者被指認利用上述漏洞。
專家觀點
專家指出,即使不考慮特定漏洞,OpenClaw 這類工具因具備對檔案系統與命令列的廣泛存取權限,本身就存在風險。一旦攻擊者成功入侵代理,該代理便成為「完美的初始存取點,也是在網路中橫向移動的完美工具」。
對個人用戶而言,此類攻擊可能導致隱私外洩;對企業而言,當個人用戶的代理接觸到工作系統、工作憑證或企業裝置時,風險也會隨之升高。他強調,「身分(identity)在這個代理的新世界中至關重要」,組織必須能夠區分操作者究竟是真人、代表該人行動的代理,還是濫用代理的攻擊者;並建議企業在賦予 AI 代理工具廣泛存取權限之前,先建立完善的身分識別與存取管理(IAM)基礎。
修補建議
- 立即將 OpenClaw 更新至 2026.4.22 或更新版本。
- 更新後,立即輪換所有密碼、API 金鑰及存取憑證,避免可能已遭竊取的憑證持續被濫用。
- 企業在部署 AI 代理工具前,應先建立完善的身分識別與存取管理(IAM)基礎架構。
本文轉載自 TheHackerNews、Hackread。