作为近期备受关注的 AI Agent 框架,OpenClaw 凭借本地执行、多工具对接的特性成为不少开发者的选择,但与此同时,其安全问题也浮出水面。安全研究团队 Endor Labs 通过 AI 驱动的静态应用安全测试引擎,在 OpenClaw 中发现6 个高危安全漏洞,涵盖服务端请求伪造(SSRF)、认证绕过、路径遍历等典型 Web 安全问题,且所有漏洞均已存在可利用的 PoC 验证代码,目前 OpenClaw 官方已发布相应补丁和安全公告,相关安全风险需高度警惕。
一、六大高危漏洞全解析:多类型漏洞覆盖核心组件
此次发现的漏洞横跨多个 Web 安全领域,针对 OpenClaw 框架内不同核心组件发起攻击,影响结合了大语言模型(LLMs)、工具执行与外部集成的复杂 Agent 系统,Endor Labs 按漏洞类型和单独严重性完成分类披露,不同漏洞的危害程度与影响范围各有不同:
1. SSRF 类漏洞(3 个,核心高危)
该类型漏洞涉及 OpenClaw 三个不同核心组件,均存在泄露内部服务、云元数据端点的风险,危害程度与实际部署环境直接相关:
-
网关组件 SSRF:CVSS 评分 7.6,允许用户通过提供的 URL 建立出站 WebSocket 连接,存在越权访问内部资源风险;
-
Urbit 认证模块 SSRF:CVSS 评分 6.5,认证环节的 SSRF 漏洞可能导致认证信息泄露、内部服务被探测;
-
图像工具 SSRF:CVSS 评分 7.6,图像处理工具的 SSRF 漏洞可被利用发起恶意请求,突破网络访问限制。
2. 访问控制缺陷(2 个,含认证绕过)
该类漏洞核心为权限验证机制缺失,未授权用户可通过伪造请求、绕开认证调用受保护接口,直接威胁框架运行安全:
-
Telnyx webhook 处理器验证缺失:CVSS 评分 7.5,无有效验证机制,允许来自不可信来源的伪造请求接入,可能导致恶意指令执行;
-
Twilio 功能认证绕过:CVSS 评分 6.5,未对访问者进行有效身份校验,未授权用户可直接调用 Twilio 相关受保护接口。
3. 路径遍历漏洞(1 个)
浏览器文件上传处理环节存在路径净化不足问题,目前暂未分配 CVSS 评分,但该漏洞可被利用实现文件写入非预期目录,可能导致恶意文件植入、正常文件被覆盖等问题,进而引发后续的代码执行、数据泄露风险。
二、漏洞挖掘新思路:AI 驱动 SAST 突破传统分析局限
此次 Endor Labs 能成功发现 OpenClaw 框架中隐藏的多类漏洞,核心在于采用了AI 驱动的静态应用安全测试(SAST) 方案,突破了传统静态分析工具在现代软件栈中的检测局限性。
传统静态分析工具难以追踪经过多重转换的输入数据,无法精准定位到危险操作环节,而 AI 驱动的 SAST 引擎可保持跨数据转换过程的上下文关联,完整映射「不可信数据」的全流转路径:从 HTTP 参数、配置值等入口点,到网络请求、文件操作等安全敏感的汇聚点,实现对数据流转全流程的安全检测,精准发现隐藏的漏洞隐患。
研究人员表示,AI 分析与系统性人工验证的结合,为保护 AI 基础设施提供了可行的解决方案。随着 AI Agent 框架在企业环境中的普及,安全分析工作不仅需要应对传统的 Web 安全漏洞,还需重点关注 AI 系统特有的攻击面,才能实现全面的安全防护。
三、最新处置进展:官方已发布补丁,建议立即修复
Endor Labs 在发现漏洞后,已第一时间向 OpenClaw 维护团队完成漏洞披露,目前相关修复措施已在受影响的组件中落地实施,OpenClaw 官方也同步发布了对应的安全补丁和安全公告,提醒用户及时更新。
鉴于此次漏洞均为高危级别,且存在实际可利用的 PoC,所有使用 OpenClaw 框架的个人和企业用户需高度重视,立即检查自身部署的框架版本,及时安装官方发布的安全补丁,同时对框架的访问权限、数据输入校验环节进行加固,避免漏洞被恶意利用造成数据泄露、服务器被控制等安全事故。
作为融合了大模型、多工具调用、本地执行的复杂 AI 系统,AI Agent 框架的安全防护需要兼顾传统软件安全与 AI 特有安全风险,此次 OpenClaw 的漏洞事件也为行业敲响警钟:AI 工具在追求功能便捷性、实用性的同时,安全防线的搭建刻不容缓。