欢迎来到开球世界

开球世界

研究员曝光一条 WhatsApp 消息就能触发 OpenClaw 漏洞链

时间:2026-07-17 04:10:42 出处:足球百科阅读(143)

安全研究员 Chinmohan Nayak 近期披露了一起极具破坏性的研究员曝安全事件:仅需发送一条普通的 WhatsApp 消息,即可在目标设备上触发 OpenClaw 个人 AI 助手的光条代码执行漏洞。该攻击链无需鱼叉式钓鱼邮件,消息也无需预先植入木马,洞链完全依托即时通讯聊天界面完成渗透。研究员曝

此次攻击利用了 OpenClaw 中刚刚被修复的光条三个高危漏洞。尽管 OpenClaw 已在版本 2026.6.6中修复了这些问题,消息且维护者在上周的洞链公告中轻描淡写地表示“实际影响取决于运维配置及低信任输入的路径可达性”,但 Nayak 的研究员曝报告证实:若系统配置存在任何松懈,外部传入的光条一条消息即可直接穿透主机防线。

漏洞详情与评分

此次曝光的消息三个漏洞均被赋予高危评分,具体编号及性质如下:

  • GHSA-hjr6-g723-hmfmGHSA-9969-8g9h-rxwm
  • 评分:8.8 (高危)
  • 类型:命令注入 (Command Injection)
  • 成因:主机执行环境的洞链输入过滤机制存在缺陷。由于禁用输入列表不完整,研究员曝攻击者可绕过授权限制,光条执行任意命令或实现持久化驻留。消息

  • GHSA-575v-8hfq-m3mc

  • 评分:8.4 (高危)
  • 类型:路径穿越 (Path Traversal) 与链接跟踪漏洞
  • 成因:该漏洞允许沙箱内的挂载绑定绕过“父目录黑名单”检查,执行本应被更严格权限控制拦截的操作。

技术深度解析:路径穿越如何导致数据泄露

Nayak 对路径穿越漏洞的原理进行了直观解释。核心问题在于 getBlockedReasonForSourcePath()函数的逻辑缺陷:该函数仅检查源路径是否位于被禁路径之下,却从未反向检查被禁路径是否位于源路径之下。这种单向检查逻辑使得原本严密的“单个禁地”防护形同虚设。

OpenClaw 的挂载黑名单原本旨在禁止挂载 ~/.ssh~/.aws~/.gnupg等敏感目录,但攻击者通过挂载上一级目录 /home,即可间接访问所有用户的 SSH 私钥、AWS 凭证和 GPG 密钥。更为致命的是,若挂载 /var目录,攻击者甚至能触及 Docker Socket,从而从沙箱环境直接逃逸至宿主机,获取系统的完整控制权。

与 Claw Chain 攻击链的本质区别

此次发现的漏洞链与五月份 Cyera 披露的 Claw Chain存在本质差异:

  • Claw Chain:要求攻击者先在主机内部建立立足点(前置条件)。
  • Nayak 曝光的漏洞链:实现零前置条件(Zero-Precondition)。攻击者仅通过外部发送消息,即可依次完成凭据窃取、持久化后门植入、远程代码执行,并最终逃逸至宿主机。

换言之,只要运行未加固的 OpenClaw 实例,攻击者只需动动手指发送一条 WhatsApp 消息,受害者的密钥可能已被传输至地球另一端的攻击者终端。

修复建议与缓解措施

OpenClaw 官方已发布补丁,并建议采取以下紧急止血措施:

  1. 强制沙盒模式:对所有非主会话强制启用沙盒模式,隔离潜在恶意代码。
  2. 移除高危工具白名单:将 exec从面向频道代理的工具白名单中移除,防止滥用。
  3. 监控异常命令:重点监控 git clone命令中是否包含 ext::外部协议头,该特性常被滥用以执行任意系统命令。

专家提醒:Nayak 特别指出,在升级补丁之前,切勿贸然关闭受影响的功能。建议优先限制对外暴露的接口范围,将其控制在最小可控范围内,防止因配置不当导致数据大规模泄露。

分享到:

温馨提示:以上内容和图片整理于网络,仅供参考,希望对您有帮助!如有侵权行为请联系删除!

友情链接: