安全研究员 Chinmohan Nayak 近期披露了一起极具破坏性的研究员曝安全事件:仅需发送一条普通的 WhatsApp 消息,即可在目标设备上触发 OpenClaw 个人 AI 助手的光条代码执行漏洞。该攻击链无需鱼叉式钓鱼邮件,消息也无需预先植入木马,洞链完全依托即时通讯聊天界面完成渗透。研究员曝
此次攻击利用了 OpenClaw 中刚刚被修复的光条三个高危漏洞。尽管 OpenClaw 已在版本 2026.6.6中修复了这些问题,消息且维护者在上周的洞链公告中轻描淡写地表示“实际影响取决于运维配置及低信任输入的路径可达性”,但 Nayak 的研究员曝报告证实:若系统配置存在任何松懈,外部传入的光条一条消息即可直接穿透主机防线。

此次曝光的消息三个漏洞均被赋予高危评分,具体编号及性质如下:
成因:主机执行环境的洞链输入过滤机制存在缺陷。由于禁用输入列表不完整,研究员曝攻击者可绕过授权限制,光条执行任意命令或实现持久化驻留。消息
GHSA-575v-8hfq-m3mc:
Nayak 对路径穿越漏洞的原理进行了直观解释。核心问题在于 getBlockedReasonForSourcePath()函数的逻辑缺陷:该函数仅检查源路径是否位于被禁路径之下,却从未反向检查被禁路径是否位于源路径之下。这种单向检查逻辑使得原本严密的“单个禁地”防护形同虚设。
OpenClaw 的挂载黑名单原本旨在禁止挂载 ~/.ssh、~/.aws、~/.gnupg等敏感目录,但攻击者通过挂载上一级目录 /home,即可间接访问所有用户的 SSH 私钥、AWS 凭证和 GPG 密钥。更为致命的是,若挂载 /var目录,攻击者甚至能触及 Docker Socket,从而从沙箱环境直接逃逸至宿主机,获取系统的完整控制权。
此次发现的漏洞链与五月份 Cyera 披露的 Claw Chain存在本质差异:
换言之,只要运行未加固的 OpenClaw 实例,攻击者只需动动手指发送一条 WhatsApp 消息,受害者的密钥可能已被传输至地球另一端的攻击者终端。
OpenClaw 官方已发布补丁,并建议采取以下紧急止血措施:
exec从面向频道代理的工具白名单中移除,防止滥用。git clone命令中是否包含 ext::外部协议头,该特性常被滥用以执行任意系统命令。专家提醒:Nayak 特别指出,在升级补丁之前,切勿贸然关闭受影响的功能。建议优先限制对外暴露的接口范围,将其控制在最小可控范围内,防止因配置不当导致数据大规模泄露。