一、背景介绍
近日监测官方修复OpenClaw WebSocket共享令牌权限提升漏洞(QVD-2026-13829),漏洞PoC和技术细节已公开。鉴于该漏洞影响较大,建议尽快做好自查及防护。
1.1漏洞描述
OpenClaw是一款开源的AI智能体平台,能够在本地环境中自主运行,通过自然语言指令直接操作用户计算机完成各类任务。
该漏洞存在于OpenClaw网关的WebSocket连接处理逻辑中。当使用无设备共享令牌或密码认证的后端连接时,系统未能正确验证和限制客户端自行声明的权限范围,攻击者可利用该漏洞,通过获取或构造无设备共享令牌,在WebSocket连接建立时自行声明高权限作用域,从而完全控制目标机器。
1.2漏洞编号
QVD-2026-13829
1.3漏洞等级
高危
二、修复建议
2.1受影响的版本
OpenClaw <= 2026.3.11
2.2修复建议
官方已发布安全补丁,请及时更新至最新版本: OpenClaw >= 2026.3.12
