OpenClaw存在漏洞攻擊鏈Claw Chain,攻擊者可用於竄改組態並植入後門
來源: iThome | 日期: 2026-05-18 URL: https://www.ithome.com.tw/news/175889 Guardrail: ⚠️ WARN(風險 25/100,CVE 年份為 2026,需核實)
摘要
開源 AI 代理整合平台 OpenClaw 被發現存在四個漏洞,可組成名為「Claw Chain」的攻擊鏈,攻擊者可藉此竊取憑證、提升權限並植入後門。報告機構為 Cyera,於 2026 年 4 月底發現、5 月 15 日公開警告。
漏洞詳情
| CVE | 類型 | CVSS |
|---|---|---|
| CVE-2026-44112 | TOCTOU 條件競爭(檔案寫入逃逸) | 9.6 |
| CVE-2026-44113 | TOCTOU 條件競爭(檔案讀取逃逸) | 7.7 |
| CVE-2026-44115 | 執行允許名單環境變數曝露 | 8.8 |
| CVE-2026-44118 | MCP Loopback 權限提升 | 7.8 |
Claw Chain 攻擊流程
惡意外掛/提示注入/被滲透輸入
→ CVE-2026-44113 + CVE-2026-44115(偵察/竊取憑證)
→ CVE-2026-44118(權限提升)
→ CVE-2026-44112(部署後門)
現況
- 漏洞已修補,但仍有超過 6.5 萬個 OpenClaw 實例未更新
- 建議立即更新至已修補版本
衍生頁面
- OpenClaw漏洞攻擊鏈Claw Chain竄改組態植入後門 — 核心漏洞事件