OpenClaw安全漏洞曝光：智能体工具存在严重权限提升风险

一个多月来，安全从业者一直在警告使用OpenClaw的安全风险，这款病毒式传播的AI智能体工具在开发社区引起了轰动。最近修复的一个漏洞为这些警告提供了有力证据。

OpenClaw于11月推出，目前在Github上已获得347,000颗星。该工具的设计初衷是控制用户计算机并与其他应用程序和平台交互，协助完成各种任务，包括整理文件、进行研究和在线购物。为了发挥作用，它需要尽可能多地访问各种资源。Telegram、Discord、Slack、本地和共享网络文件、账户以及登录会话只是其中一部分目标资源。一旦获得访问权限，OpenClaw就会像用户一样行动，拥有同样广泛的权限和能力。

严重影响

本周早些时候，OpenClaw开发者发布了针对三个高危漏洞的安全补丁。其中一个漏洞CVE-2026-33579的严重程度评级从8.1到9.8分（满分10分），具体取决于使用的评估标准，这个评级是有充分理由的。该漏洞允许任何拥有配对权限（最低级别权限）的人获得管理员身份。一旦获得管理员权限，攻击者就能控制OpenClaw实例可以访问的任何资源。

AI应用构建商Blink的研究人员写道："实际影响是严重的。已经持有operator.pairing范围权限——OpenClaw部署中最低有意义权限——的攻击者可以静默批准请求operator.admin范围的设备配对请求。一旦批准通过，攻击设备就获得了OpenClaw实例的完全管理访问权限。不需要二次利用。除了初始配对步骤外，不需要用户交互。"

文章继续说道："对于将OpenClaw作为公司级AI智能体平台运行的组织，被攻陷的operator.admin设备可以读取所有连接的数据源，窃取存储在智能体技能环境中的凭证，执行任意工具调用，并转向其他连接的服务。'权限提升'这个词还不足以形容这种情况：结果是完全的实例接管。"

虽然漏洞已经修复，但这意味着数千个实例可能已经被攻陷，而用户对此毫不知情。

自从OpenClaw成为病毒式热门工具以来，安全专业人士一直警告其危险性，因为大语言模型本质上不可靠且容易犯最基本的错误，却能访问如此大量的敏感资源并自主行动。今年早些时候，一位Meta高管表示，他告诉团队要么将OpenClaw从工作笔记本电脑上移除，要么面临被解雇的风险。这位高管说，该工具的不可预测性可能导致原本安全的环境出现漏洞。其他管理者也发布了同样的禁令。安全研究人员也发出了警告。

更令人担忧的是，补丁于周日发布，但直到周二才获得正式的CVE编号。这意味着警觉的攻击者有两天的领先时间进行利用，而大多数OpenClaw用户还不知道需要打补丁。

Blink表示，在今年早些时候的扫描中发现的135,000个暴露在互联网上的OpenClaw实例中，有63%在没有身份验证的情况下运行，这使得主动利用的可能性更大。结果是攻击者已经拥有了获得管理控制权所需的配对权限，无需任何凭证。

Blink说："在这些部署上，任何网络访问者都可以请求配对访问，并在不提供用户名或密码的情况下获得operator.pairing范围权限。本应减缓CVE-2026-33579影响的身份验证门槛根本不存在。"

该漏洞源于OpenClaw在请求管理级配对时未能调用任何身份验证。核心批准函数——src/infra/device-pairing.ts——没有检查批准方的安全权限，以确认他们是否具有授予请求所需的权限。只要配对请求格式正确，就会被批准。

假设系统已被攻陷的指导是有充分根据的。任何运行OpenClaw的人都应该仔细检查活动日志中过去一周内列出的所有/pair批准事件。除此之外，用户应该重新考虑他们对OpenClaw的整体使用。使用该工具可能获得的任何效率提升都可能在威胁行为者获得网络王国钥匙时轻易被抵消。

Q&A

Q1：OpenClaw是什么工具？

A：OpenClaw是一款AI智能体工具，于11月推出，在Github上已获得347,000颗星。它通过控制用户计算机并与其他应用程序交互，协助完成整理文件、研究和在线购物等任务。

Q2：CVE-2026-33579漏洞有多严重？

A：该漏洞严重程度评级为8.1到9.8分（满分10分），允许拥有最低配对权限的攻击者获得管理员身份，进而控制OpenClaw实例的所有资源，实现完全的实例接管。

Q3：如何防范OpenClaw的安全风险？

A：用户应检查活动日志中过去一周的所有配对批准事件，重新考虑使用OpenClaw，并确保及时安装安全补丁。许多安全专家建议完全避免在工作环境中使用该工具。