Vulnérabilités critiques de sécurité OpenClaw corrigées le 28.03.2026.

Problèmes de sécurité critiques dans OpenClaw Core

Ant AI Security Lab a identifié 33 vulnérabilités dans le framework d'OpenClaw, dont 8 problèmes critiques corrigés dans la version 2026.3.28. Ces vulnérabilités exposent des problèmes fondamentaux de limites de confiance dans la manière dont les agents sont déployés.

Vulnérabilités spécifiques et leur impact

Contournement de l'isolation du sandbox

Dans les versions ≤2026.3.24, l'outil message accepte les alias mediaUrl et fileUrl qui contournent la validation du sandbox. Cela permet aux agents contraints dans un sandbox de lire des fichiers locaux arbitraires via ces paramètres d'alias, rendant l'isolation inefficace.

Élévation de privilèges via l'appairage d'appareils

Le chemin de commande /pair approve appelait l'approbation d'appareil sans transmettre les portées de l'appelant dans la vérification principale. Cela signifie que les utilisateurs avec des privilèges d'appairage de base pouvaient approuver des demandes d'appareil en attente demandant des portées plus larges, incluant un accès administrateur complet, s'accordant ainsi des permissions qu'ils ne possèdent pas.

Inefficacité de la révocation des jetons

Lorsque les jetons sont révoqués pour des appareils suspectés d'être compromis, la passerelle met seulement à jour les identifiants stockés sans déconnecter les sessions WebSocket déjà authentifiées. Les appareils révoqués peuvent continuer à utiliser les sessions actives jusqu'à ce que les connexions se terminent naturellement.

Vulnérabilité SSRF dans le fournisseur d'images

Lors de l'utilisation du fournisseur fal pour la génération d'images, il utilise des récupérations brutes pour le trafic API et les téléchargements d'images, contournant le chemin de récupération protégé contre le SSRF. Cela permet à des relais malveillants de forcer la passerelle à récupérer des URL internes et d'exposer les réponses des services internes via le pipeline d'images.

Dégradation de la liste d'autorisation

Les listes d'autorisation de groupe au niveau des routes pour des plateformes comme Google Chat ou Zalo étaient silencieusement rétrogradées de allowlist à open au lieu de préserver les politiques de groupe. Cela permet à n'importe quel membre de l'espace autorisé d'interagir avec le bot, ignorant les restrictions au niveau de l'expéditeur.

Actions immédiates requises

• Vérifiez votre version d'OpenClaw. Si elle est ≤2026.3.24, mettez à jour vers 2026.3.28 immédiatement.
• Examinez les journaux d'appairage pour toute attribution d'administrateur inattendue.
• Si vous avez récemment révoqué un jeton, redémarrez de force votre passerelle pour terminer les sessions WebSocket persistantes.

L'audit d'Ant AI Security Lab révèle que bien que beaucoup d'attention se concentre sur les risques de sécurité des LLM comme l'injection de prompts, la validation des paramètres du framework et les limites de confiance présentent des vulnérabilités critiques. Les 8 avis de l'audit sont disponibles publiquement dans l'onglet de sécurité GitHub d'OpenClaw.