OpenClaw严重漏洞、WhatsApp主机劫持——其成立需要什么条件?

在您一直使用的聊天应用程序上向您的人工智能开发合作伙伴发送一条消息“试试这个”——这样的日常场景可能会成为攻击的门户。这正是这次所揭露的内容。该合作伙伴是一款让全世界开发者都兴奋不已的开源人工智能助手。这不是一些恶意或聪明的代码或零日漏洞,但决定因素是“开发人员典型的正常询问方式”。为了方便而交出的钥匙可能只需要几句话就到了别人的手里。我们将一步步揭开人工智能时代悄然存在的、无法忽视的缺陷。


开源人工智能助手“OpenClaw”中发现了三个严重程度为“高”的漏洞。该漏洞本身已于 2026 年 6 月 30 日在官方公告中披露,并于 2026 年 7 月 10 日由《网络安全新闻》报道。

这三种情况分别是环境变量过滤器绕过(GHSA-hjr6-g723-hmfm、CVSS 8.8)、使用 Git ext::transport 的 RCE(GHSA-9969-8g9h-rxwm、CVSS 8.8)和沙箱父目录绕过(GHSA-575v-8hfq-m3mc、CVSS 8.4)。 OpenClaw 是一个热门项目,在 GitHub 上拥有超过 380,000 颗星(截至 2026 年 7 月)。

在前两个案例中,研究人员 Chinmohan Nayak 演示了主机上伪装成调试请求的 WhatsApp 消息的代码执行情况。在此演示中,攻击者的号码已预先批准配对,主机命令无需确认即可执行,并且沙箱被禁用。

另一方面,第三个问题是在启用沙箱的情况下使用绑定挂载时无法验证父目录。默认情况下,在所有者批准之前,不会处理来自未知发件人的邮件。运行测试代理的模型为Claude Sonnet 4。前两个问题受OpenClaw 2026.6.1及以下版本影响,第三个问题受OpenClaw 2026.6.6及以下版本影响,均已于2026.6.6及更高版本修复。

从: 一条 WhatsApp 消息将 OpenClaw 变成黑客的远程访问工具

【编辑部评论】

首先我想澄清的是,这次OpenClaw中的三个产品错误被利用,并且它们已经被官方修复。同时,本案依赖模型来有效决定是否执行危险操作的危险它还揭示了一个更广泛的问题。然而,这并不意味着不知名的人只需发送一条消息就可以接管您的 WhatsApp。在前两个演示(环境变量过滤器和 Git ext::)中,攻击者的号码已预先批准配对,命令设置为无需确认即可运行,并且沙箱被禁用。 “一个字母”是指这些准备工作完成后最终的输入。第三个问题本质上有所不同,是一个验证绕过漏洞,只会在启用沙箱和使用绑定安装的配置中成为问题。

在这三者中,绕过环境变量过滤器是象征性的。根据研究人员的分析,OpenClaw 的 sanitizeEnvVars() 充当拒绝列表,以防止 API 密钥和令牌等“秘密泄露”。然而,NODE_OPTIONS 等“从外部引入危险代码”的变量是意料之外的。你的思维中存在一个漏洞,你只看向一个方向,即你应该保护的方向。是。

RCE(远程代码执行)是指攻击者可以从远程位置在目标计算机上运行任意程序的情况。在这种情况下,情况就足够严重了,如果满足权限和文件访问条件,就可以用来窃取 SSH 密钥并控制主机。 CVSS是一个国际指数,以0到10的等级来量化严重程度,本次的三个案例分别是8.8、8.8和8.4。两者都被归类为“高”。

第三个问题,避免沙箱,尤为重要。 Docker沙箱禁止直接挂载~/.ssh,但允许其上层目录/home通过。“我们锁定了危险的房间,但我们能够拆除该房间所在的整个楼层。”这意味着用于保护敏感文件的边界已被突破。请注意,这仅意味着这种隔离的一个方面已被打破;这并不意味着所有其他隔离机制(例如 Docker 进程和网络)都已被禁用。

此事件中最能说明问题的是运行测试代理的 Claude Sonnet 4 的行为。研究人员报告称,大约 40% 的情况下,公开攻击有效负载会被拒绝;如果您将相同的内容包装在开发人员上下文中,例如“调试生产中的内存泄漏”,它将在您尝试的每个新会话中运行。据说,不过,这是研究人员自己的观察,尝试次数、完整日志和第三方重现结果尚未公开。克劳德十四行诗 4 值得注意的是,这些数字不能概括为一般成功率。

如果只看文本,很难区分合法开发者的请求和攻击者的请求。--Here lies the core of the problem. However, in real systems, there are "non-textual cues" such as sender authentication, permission settings, tool policies, and approval flows.这种静默执行背后的原因是 OpenClaw 的受信任的单一操作员配置,它信任配对的发送者并允许在主机上执行而无需确认。 Additionally, sandboxing was also disabled by default in the demonstration environment. The essence of this is that the decision on whether to execute a command is essentially left to the interpretation of the model's words.

此外,会话独立性使得这一弱点变得更加困难。研究人员观察到,一旦一个人拒绝了请求,他们就会对对话中随后的互动变得警惕,但当新的会话开始时,这种警惕性就会被重置(尽管这尚未被正式确认为一种内部状态)。即使防御者成功一次,攻击者也只需成功一次。

该漏洞已于2026年6月6日修复。然而,我现在不能说我感到安全。 We do not know the update rate or whether there are existing breaches.前两个问题影响2026.6.1以下的OpenClaw版本,沙箱问题影响2026.6.6以下的版本。要解决所有三个问题,您需要更新到 2026.6.6 或更高版本。And disable exec on untrusted channels.这是一个具体的步骤。

本质不仅仅是 OpenClaw 特有的。 Nayak 指出,许多人工智能代理平台一开始就没有消毒剂,并表示 OpenClaw 实际上是有对策的平台(这一全行业的比较基于研究人员的观点,没有定量证据支持)。在更广泛的背景下,自 2026 年初以来,OpenClaw 一直被标记为间歇性安全问题,包括 CVE-2026-25253、一键式 RCE、利用 ClawHub 公共市场的恶意软件分发以及互联网上暴露的大量实例。这是该血统的最新例子。自托管的吸引力——“你的基础设施、你的密钥、你的数据”——要求运营商承担更大的责任。然而,开发者和供应商也对安全默认值、修改和模型安全负责。

我们现在拥有的人工智能代理将可以访问机器的同事的信任模型与可以发送文本的人的联系点紧密连接起来。然而,OpenClaw 的默认 DM 策略不是“接受任何人”,而是一种配对方法。当您授权配对中的发送者并授予代理在主机上执行命令的权限时,就会暴露出这种差距。尽管如此,如何定义自主行动的人工智能的责任边界这个问题越来越重要。包括欧盟人工智能法在内的国家框架对提供者和采用者施加了不同的义务,这些自托管代理可能不会立即被归类为高风险人工智能。像这样的案例有可能成为推动这一讨论的材料来源。

总之,纳亚克的建议很明确。停止依赖模型作为安全边界,并在应用程序端强制进行身份验证、授权、沙箱和最小权限,与模型决策分开。,和。人工智能代理的便利是真实存在的。这就是为什么我们需要进入这样一个阶段:通过设计而不是通过人工智能的“常识”来保护支持这种便利性的基础。

[相关文章]

OpenClaw 中的五个零日劫持了 AI 代理的“信任”——过去 CVE 中发现的 AI 工具 agentgg
在此之前的一个案例涉及消息传递协作中违反信任边界的情况。它揭示了如何发现漏洞。


它将公共实例的曝光规模和控制人工智能代理的问题组织为特权主体。

OpenClaw代理“Cass”密码泄露,Hannah Fry教授的实验展示了AI代理的光影
AI 通过 WhatsApp 上的虚假指令泄露身份验证信息的示例。它显示了“信心受到你使用言语的方式影响”的危险。

[编者后记]

当我关注这一事件时,最让我印象深刻的是,这并不是因为攻击过于复杂而无法预防。使用的是开发人员每天都会说的话:“我想在生产环境中调试一个错误,所以运行这个。”任何地方都没有恶意编写。所以AI才没有怀疑。

在这里我们也能看到一些自己的影子。你信任的人向你求助的次数越多,你就越有可能根据说这句话的人以及他们说的方式而不是内容来接受它。我觉得AI这次的行为以机器的速度和诚实放大了其类似人类的判断习惯。

同时,为了使这种攻击成功,需要事先批准接收者并授予他们在没有确认的情况下执行命令的权限。 On the other hand, we are always the ones who decide how much "behavior" we will allow. What are you giving up in exchange for convenience? I believe that the line is not decided by someone else, but is in the hands of each person who uses it.

该漏洞已被修复。然而,这一事件留下的问题将继续延续到下一个即将出现的人工智能工具中。你触手可及的人工智能能在多大程度上“代替你”?下次当您将某事委托给某人时,请尝试仅检查一次其范围。如果我们能一起养成这样的小习惯我会很高兴。


【术语解释】

CVSS
一个国际评估指数,以0到10的范围来表达漏洞的严重程度。在v3.1中,7.0到8.9被认为是“高”,这次的三种情况是8.8、8.8和8.4。

GHSA
GitHub 安全咨询。这是一个用于在 GitHub 上协调和发布漏洞的标识号,这次分配了三个,包括 GHSA-hjr6-g723-hmfm。它是与 CVE 不同的编号系统。

环境变量
Setting values ​​that provide program operating conditions externally.有些(例如 NODE_OPTIONS)具有合法功能,可以导致在启动时加载另一个模块,并且如果从不受信任的输入设置,则可以被利用来执行代码。

克劳德十四行诗 4
它是Anthropic开发的AI模型之一,在本次测试中被用作驱动OpenClaw的模型。研究人员表示,克劳德·桑内特 4 接受过安全培训,他有时会拒绝可疑的请求。尽管如此,研究人员报告称,在他们尝试的每个新会话中都会执行为开发工作添加背景的请求。

[参考链接]

(外部)
此次事件涉及的自托管人工智能助手的官方网站。介绍了支持的渠道、功能和思路。

OpenClaw(官方 GitHub 存储库)(外部)
发布 OpenClaw 源代码的官方存储库。您还可以在此处检查星级并报告漏洞。

OpenClaw Security Advisories(公式)(外部)
漏洞公告列表,包括 3 个 GHSA。您可以检查 CVSS 值、受影响的版本和修复状态。

Anthropic(Claude 开発元)(外部)
测试中使用的模型 Claude Sonnet 4 的开发者。一家进行AI安全研究并提供模型的公司的官方网站。

[参考文章]

我向 AI 代理发送了一条 WhatsApp 消息。它在主机上运行我的代码。(外部)
主要信息来自发现者 Chinmohan Nayak 本人。它详细介绍了12个环境变量的监督、示范环境的设置条件和建议。

研究人员详细介绍了利用三个 OpenClaw 缺陷的 WhatsApp 到主机攻击链(外部)
黑客新闻的报道。传达这三个漏洞,其影响取决于操作配置和缓解措施。演示环境的详细情况可以参见研究者自己的Medium文章。

OpenClaw 漏洞可通过恶意链接实现一键式远程代码执行(外部)
此问题之前的漏洞报告。涵盖 Mav Levine 和其他人参与的 CVE-2026-25253,并提供早期 RCE 问题的背景。

OpenClaw 技能用于分发 Atomic macOS Stealer(外部)
趋势科技研究。我们报告利用 ClawHub 的恶意技能进行的恶意软件的实际分布。

暴露的 OpenClaw 部署如何将代理 AI 变成攻击面(外部)
安全记分卡研究。关于互联网上暴露的大量 OpenClaw 实例的真实情况的报告。