返回首页

OpenClaw 设备配对中的 CWE-863 漏洞

在 OpenClaw 中,设备配对模块中发现了六个 CWE-863 漏洞,允许权限提升。问题规模:数万个公共实例无认证。建议立即更新和加固。

OpenClaw 中的 6 个 CWE-863 漏洞:设备配对中的权限提升
Advertisement 728x90

OpenClaw 设备配对子系统中六个 CWE-863 漏洞

在 OpenClaw(GitHub 上星标数达 348,000 的热门 AI 代理)的设备配对子系统中,在六周内发现了六个 CWE-863 漏洞(不正确授权)。最新的 CVE-2026-33579(CVSS 8.6)已在 3 月 29 日发布的 2026.3.28 版本中修复。所有缺陷均源于在批准新设备时缺少对授权主体权限的验证。

设备配对模块在执行操作前未验证调用者的权限,从而在没有额外防护的情况下允许权限提升。

CVE-2026-33579 及其前序漏洞详情

在 CVE-2026-33579 中,/pair approve 命令未将用户的权限上下文传递给授权检查。拥有 operator.pairing 角色的用户可以发起请求 operator.admin 权限的设备配对,然后自行批准,从而获得提升的权限。

Google AdInline article slot

先前的漏洞 CVE-2026-32922(CVSS 9.9)利用令牌轮换端点绕过权限检查。该漏洞在 2026.3.11 版本中修补,但若未升级至 2026.3.28,系统仍易受新型攻击。

生产环境中问题的规模

2 月的 SecurityScorecard 扫描显示,超过 135,000 个 OpenClaw 实例公开可访问,其中 63% 缺少任何身份验证。3 月,Censys 报告数量降至 63,000,但这仍是大规模利用的主要途径。

在未认证的实例上,任何攻击者均可执行配对并触发权限提升。缺少基本防护措施加剧了已部署系统的风险。

Google AdInline article slot
  • 暴露规模: 2 月 135k+ 个公开实例。
  • 未认证比例: 63%。
  • 趋势: 3 月降至 63k。
  • 风险: 无障碍完全访问设备配对。

补丁无法解决根本问题

六个补丁各针对特定代码路径,但设备配对的授权模型未作改变。子系统缺乏全面架构审计的证据。研究人员预计很快会出现新的 CVE。

OpenClaw 开发者建议:

  • 升级至 2026.3.28。
  • 在所有实例上启用身份验证。
  • 监控项目安全动态。

关键要点

  • OpenClaw 设备配对在 6 周内六个 CWE-863 漏洞,最新 CVSS 8.6。
  • 根本原因:/pair approve 及类似端点缺少权限验证。
  • 63k+ 个无认证公开实例——现成利用途径。
  • 补丁治标;授权架构需重新设计。
  • 生产部署必须更新并加固。

— Editorial Team

Google AdInline article slot
Advertisement 728x90

继续阅读