OpenClaw 紧急修复高危 RCE 漏洞（CVE-2026-25253）

OpenClaw 修复高危远程代码执行漏洞（CVE-2026-25253）

安全研究人员近日披露了 OpenClaw（前称 Clawdbot 和 Moltbot）中存在的一个严重漏洞，该漏洞可能允许攻击者通过精心构造的恶意链接实现一键远程代码执行（RCE）。该漏洞编号为 CVE-2026-25253，CVSS 评分为 8.8，已在 2026 年 1 月 30 日发布的 v2026.1.29 版本中修复。

技术细节

该漏洞源于令牌泄露问题，攻击者可利用此漏洞劫持用户会话并执行任意代码。虽然具体的利用机制尚未公开，但漏洞的严重性凸显了**“驱动式攻击”（drive-by attacks）**的风险——受害者仅需点击恶意链接即可触发 RCE。

OpenClaw 是一款广泛使用的自动化和机器人管理框架，由于其与基于 Web 的工作流深度集成，面临的风险尤为突出。此次补丁修复了底层的令牌处理机制，防止未经授权访问敏感会话数据。

影响分析

• 利用途径：通过钓鱼或恶意广告（malvertising）实现一键 RCE。
• 严重程度：高危（CVSS 8.8），由于 OpenClaw 的广泛应用，潜在影响范围较大。
• 攻击面：使用 OpenClaw 的 Web 应用、自动化脚本及机器人驱动的工作流。
• 缓解状态：已在 v2026.1.29 中完全修复；无可用的临时解决方案。

建议措施

安全团队应采取以下措施：

1. 立即升级至 OpenClaw v2026.1.29 或更高版本。
2. 审计系统是否存在令牌泄露或未授权访问迹象。
3. 培训用户识别钓鱼链接，这是主要的攻击途径。
4. 监控网络流量，关注异常的出站连接，可能表明正在遭受攻击。

对于无法立即升级的组织，严格的输入验证和会话隔离可能降低风险，但这些并非绝对可靠的缓解措施。

CVE 参考：CVE-2026-25253