一、背景介绍

近日监测到OpenClaw官方修复了远程代码执行漏洞（CVE-2026-25253）。

1.1漏洞描述

OpenClaw（原名Clawdbot）是一个“执行型AI代理”产品。该漏洞源于控制UI对URL查询字符串中gatewayUrl参数的过度信任，允许攻击者通过恶意链接实现跨站WebSocket劫持，进而窃取API令牌、执行任意命令。

1.2漏洞编号

CVE-2026-25253

1.3漏洞等级

高危

二、修复建议

2.1受影响的版本

OpenClaw≥2026.1.28

2.2修复建议

OpenClaw官方已修复该漏洞，建议用户升级至最新版本（2026.1.29+）。