OpenClaw存在漏洞攻擊鏈Claw Chain,攻擊者可用於竄改組態並植入後門

來源: iThome | 日期: 2026-05-18 URL: https://www.ithome.com.tw/news/175889 Guardrail: ⚠️ WARN(風險 25/100,CVE 年份為 2026,需核實)

摘要

開源 AI 代理整合平台 OpenClaw 被發現存在四個漏洞,可組成名為「Claw Chain」的攻擊鏈,攻擊者可藉此竊取憑證、提升權限並植入後門。報告機構為 Cyera,於 2026 年 4 月底發現、5 月 15 日公開警告。

漏洞詳情

CVE類型CVSS
CVE-2026-44112TOCTOU 條件競爭(檔案寫入逃逸)9.6
CVE-2026-44113TOCTOU 條件競爭(檔案讀取逃逸)7.7
CVE-2026-44115執行允許名單環境變數曝露8.8
CVE-2026-44118MCP Loopback 權限提升7.8

Claw Chain 攻擊流程

惡意外掛/提示注入/被滲透輸入
  → CVE-2026-44113 + CVE-2026-44115(偵察/竊取憑證)
  → CVE-2026-44118(權限提升)
  → CVE-2026-44112(部署後門)

現況

  • 漏洞已修補,但仍有超過 6.5 萬個 OpenClaw 實例未更新
  • 建議立即更新至已修補版本

衍生頁面