OpenClaw 设备配对子系统中六个 CWE-863 漏洞
在 OpenClaw(GitHub 上星标数达 348,000 的热门 AI 代理)的设备配对子系统中,在六周内发现了六个 CWE-863 漏洞(不正确授权)。最新的 CVE-2026-33579(CVSS 8.6)已在 3 月 29 日发布的 2026.3.28 版本中修复。所有缺陷均源于在批准新设备时缺少对授权主体权限的验证。
设备配对模块在执行操作前未验证调用者的权限,从而在没有额外防护的情况下允许权限提升。
CVE-2026-33579 及其前序漏洞详情
在 CVE-2026-33579 中,/pair approve 命令未将用户的权限上下文传递给授权检查。拥有 operator.pairing 角色的用户可以发起请求 operator.admin 权限的设备配对,然后自行批准,从而获得提升的权限。
先前的漏洞 CVE-2026-32922(CVSS 9.9)利用令牌轮换端点绕过权限检查。该漏洞在 2026.3.11 版本中修补,但若未升级至 2026.3.28,系统仍易受新型攻击。
生产环境中问题的规模
2 月的 SecurityScorecard 扫描显示,超过 135,000 个 OpenClaw 实例公开可访问,其中 63% 缺少任何身份验证。3 月,Censys 报告数量降至 63,000,但这仍是大规模利用的主要途径。
在未认证的实例上,任何攻击者均可执行配对并触发权限提升。缺少基本防护措施加剧了已部署系统的风险。
- 暴露规模: 2 月 135k+ 个公开实例。
- 未认证比例: 63%。
- 趋势: 3 月降至 63k。
- 风险: 无障碍完全访问设备配对。
补丁无法解决根本问题
六个补丁各针对特定代码路径,但设备配对的授权模型未作改变。子系统缺乏全面架构审计的证据。研究人员预计很快会出现新的 CVE。
OpenClaw 开发者建议:
- 升级至 2026.3.28。
- 在所有实例上启用身份验证。
- 监控项目安全动态。
关键要点
- OpenClaw 设备配对在 6 周内六个 CWE-863 漏洞,最新 CVSS 8.6。
- 根本原因:
/pair approve及类似端点缺少权限验证。 - 63k+ 个无认证公开实例——现成利用途径。
- 补丁治标;授权架构需重新设计。
- 生产部署必须更新并加固。
— Editorial Team
暂无评论。