安全研究员 Chinmohan Nayak 最近干了件事:他通过一条普普通通的 WhatsApp 消息,就让别人电脑上的 OpenClaw 个人 AI 助手悄悄执行了代码。这条攻击链不靠鱼叉邮件,也不靠提前埋木马,纯靠聊天。

他所利用的,是 OpenClaw 中刚刚被修复的三个高危漏洞。OpenClaw 已经在版本 2026.6.6 中把这三个坑填上了,维护者在上周发布的公告里轻描淡写地说“实际影响取决于运维配置,以及低信任输入能不能摸到那条路径”。可 Nayak 的报告直接告诉所有人:如果配置稍微松懈,外部一条消息就能打穿主机。

打开网易新闻 查看精彩图片

这三个漏洞都有编号:GHSA-hjr6-g723-hmfm 和 GHSA-9969-8g9h-rxwm 都是 8.8 分的命令注入问题,出在主机执行环境过滤机制上,因为禁用的输入列表不完整,攻击者可以绕过授权去执行或持久化操作。第三个 GHSA-575v-8hfq-m3mc 评分 8.4,是个路径穿越加链接跟踪的漏洞,能让沙箱里的挂载绑定绕过“父目录黑名单”检查,做一些本应被更强授权拦下的动作。

Nayak 解释这个路径穿越时说得很直白:getBlockedReasonForSourcePath() 这个函数只检查源路径是不是在某个被禁路径之下,但它从来不反向检查——一个被禁路径是否位于源路径之下。这就让“单个禁地”变成了纸糊的。OpenClaw 的挂载黑名单原本禁止挂载 ~/.ssh~/.aws~/.gnupg 等敏感目录,但攻击者直接挂载上一级 /home,所有用户的 SSH 私钥、AWS 凭证和 GPG 密钥就全暴露了。更狠的是,挂 /var 还能摸到 Docker socket,从“沙箱”里直接逃逸到宿主机,拿到完整控制权。

这次发现和五月份 Cyera 披露的 Claw Chain 完全不同。那套攻击链要求攻击者先在主机里占个坑,而 Nayak 曝光的这三招零前置,外部消息就能完成凭据窃取、持久化后门植入、远程代码执行,再一路通向宿主机。换句话说,你只要跑着一个没加固的 OpenClaw,别人动动手指发条 WhatsApp,你的密钥就可能已经在地球另一端的终端里了。

OpenClaw 的补丁已经释出,同时维护方给出了几个止血措施:所有非主会话都强制启用沙盒模式;把 exec 从面向频道代理的工具白名单里移除;重点监控 git clone 命令里是否带 ext:: 外部协议头,这东西能被滥用来跑任意系统命令。不过 Nayak 特别提醒,在升级之前别急着关掉受影响的功能,最好先把对外暴露的接口限到可控范围,别让一条消息就刮走整个家当。