2026 年 6 月 3 日有报道称 OpenClaw 存在 5 个零日漏洞。
OpenClaw 是一款将 Slack、Discord、Microsoft Teams、Matrix、Telegram 和 Zalo 与 AI 代理连接起来的工具,以确定谁可以与权限列表交互。 Philip Garabandic 在允许列表处理过程中发现了身份解析中的缺陷。只需更改显示名称以匹配允许列表中的用户,攻击者就可以冒充该用户。该问题最初是通过 Telegram 集成发现并修复的,但 Slack、Discord、Matrix、Zalo 和 Microsoft Teams 中仍然存在同样的原因。人工智能驱动的静态分析工具agentgg被用来做出这一发现。
从: 攻击者利用五个 OpenClaw 0-Day 劫持可信 AI 代理访问
【编辑部评论】
首先,让我们澄清一下这“5个零日”指的是什么。 OpenClaw 最初在 Telegram 集成中也发现了类似的问题,已修复为 GHSA-mj5r-hh7j-4gxf。然而,同样的原因也被构建在五个独立的集成功能中:Slack、Discord、Matrix、Zalo 和 Microsoft Teams。换句话说“本来应该修复一次的 bug 被复制到不同的位置 5 次”,而不是“5 个新 bug”。这就是组成。其中,Slack、Discord、Matrix 和 Zalo 中的每一个缺陷都可以在 GitHub 上的官方公告中得到确认,但对于 Microsoft Teams,虽然在源文章和发现者本人的解释中提到,但在撰写本文时相应的官方公告尚未得到确认。
技术核心很简单。 OpenClaw 使用权限列表来管理“谁可以向 AI 代理发出命令”,但在启动时,它会根据名为“显示名称”的信息进行身份验证,这些信息可以在以后更改。由于任何人都可以更改显示名称,因此攻击者只需将自己重命名为授权人员的名称,然后重新启动服务即可注册为“受信任的人员”。我通过查看钥匙上的姓名标签而不是钥匙本身来打开门。如果改写为 可能会更容易理解。
引用的文章将此缺陷描述为 CWE-639(通过用户可操作密钥绕过授权)。另一方面,在官方 GitHub 公告中可以确认的 Slack、Discord、Matrix 和 Zalo 中的缺陷均被归类为 CWE-290(通过欺骗进行身份验证绕过)。尽管数字各不相同,但它们都有一个共同点:它们都依赖可重写的显示名称和标识符作为信任的基础。有趣的是,网络世界几十年来已知的一种失败模式正在一个名为人工智能代理的新容器中重现。
因为对方是“AI特工”,所以影响范围比正常的未授权访问更广。 OpenClaw 旨在通过连接到文件系统、shell、身份验证信息和各种 SaaS 来自主运行,因此如果完成欺骗,可能会导致任意命令执行、数据泄露或横向移动到链接系统。而且,由于合法用户被默默地锁定,因此他们很难注意到自己已被劫持。也是一个麻烦的属性。
在这里,我将尝试从与参考文章略有不同的角度来阐述它。这次最有启发性的并不是漏洞的内容,而是如何找到它。编辑部是这么想的。发现者 Philip Garabandic 向 AI 加载了过去发布给 OpenClaw 的建议,并为每个重复出现的“故障习惯”自动生成检测器。根据他的解释,12 个探测器是在这个过程中创建的。其中之一是使用可变标识符作为信任边界的模式。
他说使用的agentgg是一个类似于Nuclei的工具,它运行在AI代理而不是YAML模板上,并且作为开源发布。虽然传统的静态分析只能检测通用的错误类型,但新功能是您公司过去的事件可以直接转换为检测规则。简单来说,将组织记忆转变为防御自动化的尝试你可以这么说。
换句话说,这个一种嵌套结构,其中一个 AI 代理的弱点由另一个 AI 代理通过学习过去的经验教训来发现。已经成为了。这可以看作是人工智能不仅成为进攻方而且成为防守方的先决条件的现状的象征性反映。
积极的方面是显而易见的。机器将能够将重复的模式应用到所有模块而不会感到疲倦,而人类的评论往往以“我觉得我以前见过它”结束。一次事故可以转化为一笔“资产”,帮助您避免再次犯同样的错误。这就是原因。
另一方面,潜在的风险也不容忽视。探测器是由人工智能生成的,这意味着它的准确性和监督也取决于人工智能的判断。而且,同样的技术也向攻击者开放。从过去的建议中学习“瞄准习惯”并横向应用它们的想法对于防御和攻击同样有效。
从监管/治理的角度来看,AI代理应像服务帐户一样接受审计和管理,作为“具有权力的实体”预计未来这种说法将会更加强烈。作为背景,OpenClaw 在过去几个月收到了大量漏洞报告,并且许多实例被报道已在网上曝光。问题是如何可视化和规范自治代理的状态,在这种状态下,为了方便而引入的自治代理在公司安全控制之外运行。
从长远来看,这个案例的教训是“即使你修复了一个地方,漏洞模式本身也不会消失。”归结为一点。随着人工智能协作的增加,以及在分布式开发中一遍又一遍地复制相同的代码,跟踪单个补丁的想法将达到极限。谁将操作系统来从结构上检测过去的故障以及如何检测?对于我们这些倡导科技促进人类进化的人来说,这是“人类如何记住他们的错误并将其传递给下一代工具?”我认为这是一个技术历史问题。
【术语解释】
零日(漏洞):在提供补丁之前就可以发现并利用的漏洞。这个名字来源于防守者面临“零准备时间”这一点。
人工智能代理:一种人工智能程序,通过操作工具和服务来执行任务,同时根据人类指令和情况做出自己的决策。 OpenClaw 就是这种类型的自主代理。
允许列表:仅允许事先获得批准的人员访问和操作的方法。这次,“谁可以向代理发出命令”是使用该系统进行管理的。
信任边界:被描述为“从现在开始您可以信任”的区域。通过绕过此边界,攻击者可以执行不应被允许的操作。
身份解析:根据身份信息确定此人是谁的过程。通过显示名称等可更改信息进行修复,这为欺骗留下了空间。
显示名称(显示名称): 在聊天中可以看到的名字。许多平台允许用户随意更改身份,因此将其作为身份验证的依据是危险的。
静的解析(SAST):通过阅读源代码而不运行程序来查找漏洞的方法。 agentgg 采用了一种让 AI 代理执行此操作的新方法。
CWE(常见漏洞类型):组织漏洞类型的常见分类。引用的文章将此问题描述为 CWE-639(使用用户可操作密钥绕过授权)。另一方面,可以在官方 GitHub 公告中确认的 Slack、Discord、Matrix 和 Zalo 中当前的错误被归类为 CWE-290(欺骗性绕过身份验证)。
CVE:为各个漏洞分配全球通用序列号的系统。 OpenClaw 已报告了多个漏洞,但这次它以公告 (GHSA) 的形式发布在 GitHub 上,并且许多漏洞未编号(Noknown CVE)。
GHSA(咨询):GitHub 发布的安全公告。此次修复的第一个 Telegram 集成错误已发布为 GHSA-mj5r-hh7j-4gxf。
横向运动(横向运动):利用单点入侵作为立足点,将漏洞传播到其他链接系统的运动。由于人工智能代理连接到许多服务,损害可能会蔓延。
服务帐户:系统或程序用于自动处理的特权帐户,而不是由人类使用。这导致了这样的论点:人工智能代理应该被视为等同的“管理对象”。
[参考链接]
OpenClaw(官方网站)(外部)一个开源自主人工智能代理,其主要操作屏幕是消息应用程序。本案例中报告漏洞的目标软件。
OpenClaw(GitHub 存储库)(外部)发布 OpenClaw 本身源代码的官方存储库。您还可以在此处查看修订历史记录和安全建议。
OpenClaw 安全公告(GitHub)(外部)OpenClaw 官方安全公告列表页面。您可以使用主要信息查看每个缺陷的官方分类和更正版本。
agentgg(官方网站)(外部)用于此发现的基于人工智能代理的静态分析工具。其特点是检测器是根据过去的 CVE 自动生成的。
agentgg(GitHub 存储库)(外部)发布agentgg源代码和使用信息的官方存储库。它还作为同名包分发在 npm 上。
松弛(外部)商务聊天工具。它是OpenClaw的合作伙伴之一,并且包含在这次出现同样问题的扩展中。
不和谐(外部)社区的语音/文本聊天。这是受此零日漏洞影响的合作伙伴之一。
微软团队(外部)Microsoft 的企业协作工具。这是被指出问题的合作伙伴,但尚未得到官方确认。
矩阵(外部)去中心化、开放的标准实时通信协议。这个项目是受到OpenClaw合作的影响。
电报(外部)基于云的消息传递应用程序。这是最先发现并提前修复此问题根本原因的合作伙伴。
扎洛(外部)一款在越南广泛使用的消息应用程序。是此次受影响的合作伙伴之一,在日本并不是很熟悉。
斜角 CWE-639(外部)引用者提到的 CWE-639 官方定义页面。这是 MITRE 管理的常见弱点分类。
斜角 CWE-290(外部)对每个缺陷给出的 CWE 分类,可以在 GitHub 官方公告中确认。正式名称是通过欺骗绕过身份验证。
GitHub 咨询(GHSA-mj5r-hh7j-4gxf)(外部)针对 Telegram 集成问题的初步修正建议。该建议是理解这种“复发”的起点。
[参考文章]
一个代理,五个零日:将过去的 CVE 转化为 SAST 规则(InfoSec 文章)(外部)发现者本人的主要评论。我们将解释根据过去的建议自动生成的 12 个代理之一是如何发现此问题的。
OpenClaw AI 代理框架中安全漏洞的系统分类(arXiv)(外部)系统化 OpenClaw 漏洞的预印本论文。与允许列表相关的 13 个案例被组织为以“变量标识符”为共同根本原因。
AgentGG(官网)(外部)用于发现的AI型分析工具的官方说明。假设您已使用从过去的 CVE 生成的代理识别了 5 个零日漏洞。
ClawJacked:OpenClaw 漏洞可实现完全代理接管(Oasis Security)(外部)另一个系统的漏洞调查。它涉及 OpenClaw 的流行以及如何修复它。
四天内出现 9 个 CVE:OpenClaw 2026 年 3 月漏洞泛滥内幕(openclawai.io)(外部)一篇文章,概述了频繁出现的漏洞。这将帮助您了解有关 OpenClaw 的大量安全报告。
新的OpenClaw AI代理被发现使用不安全(卡巴斯基)(外部)供应商警报。它涉及使用 OpenClaw 时的风险和隔离的必要性。
研究人员揭示了六个新的 OpenClaw 漏洞(信息安全杂志)(外部)另一种与 OpenClaw 相关的漏洞报告。它报告了传统 SAST 的局限性和多个高严重性漏洞。
[相关文章]
OpenClaw 存在四个名为“Claw Chain”的漏洞,导致 245,000 个公开可用的设备面临凭证被盗的风险它涉及由独立研究领域发现的四个漏洞链。将人工智能代理作为特权身份进行控制的问题与本案相关。
发现首例 OpenClaw AI 代理配置文件被恶意软件窃取的案例处理身份验证信息和个性文件的盗窃问题。这部电影描绘了当前身份盗窃和数字身份复制威胁的延续。
Runlayer“OpenClaw for Enterprise”解决影子人工智能问题它涉及企业影子人工智能的治理层。 “受控许可”而非“禁止”的观点补充了这一解释。
[编者后记]
您是否有过这样的感觉:您为了方便而引入的人工智能代理突然变成了“授权室友”,可以访问您的文件和身份验证信息?在这种情况下,与室友同住的人的复制钥匙比预期更容易被复制。
您每天使用的工具决定了您可以信任的人。我们仍在寻找答案。如果你愿意,为什么不聚集在一起,从自己的角度思考呢?