技术说明
OpenClaw是一个广泛讨论的开源AI agent平台,包含一个关键的输入验证缺陷(CVSS 9.1),允许外部hook元数据作为可信系统事件入队。攻击者可以提供恶意hook名称,绕过安全检查并在更高信任级别的agent上下文中处理,从而实现权限升级、未授权操作或在agent执行环境中进行命令注入。该漏洞影响OpenClaw 2026.4.10之前的版本,于2026年5月5日披露,同时发布了GitHub安全公告(GHSA-7g8c-cfr3-vqqr)和修复问题的提交。
攻击途径
该漏洞可通过网络远程利用(AV:N),攻击复杂度低(AC:L),不需要身份验证(PR:N)或用户交互(UI:N)。攻击者制作恶意的外部hook元数据——可能通过API调用、webhook载荷或agent间通信渠道——并提供设计为被解释为可信系统事件的hook名称。由于OpenClaw在将输入入队之前未能清理或验证此输入的信任级别,攻击者的数据被提升到可以触发内部命令、操纵agent状态或泄露数据的上下文中。该缺陷被归类为CWE-345(数据真实性验证不充分)。
受影响系统
OpenClaw 2026.4.10之前的版本。OpenClaw是一个AI agent编排平台,在agentic AI社区中似乎有显著的采用率,在最近的开发讨论和agent框架比较中都有提及。该漏洞影响任何外部实体(用户、其他agent、第三方集成)可以提供hook元数据或触发基于hook的工作流的部署。
缓解措施
立即升级到OpenClaw版本2026.4.10或更高版本。修复可通过OpenClaw GitHub仓库上的提交e3a845bde5b54f4f1e742d0a51ba9860f9619b29获得。如果无法立即打补丁,请在所有外部hook元数据进入事件队列之前应用严格的输入验证和清理,并为可作为系统事件处理的hook名称实施白名单。检查日志中可能表明被利用的可疑hook调用或权限升级。