Критические уязвимости безопасности OpenClaw устранены в версии 2026.3.28.

Критические проблемы безопасности в ядре OpenClaw

Ant AI Security Lab выявила 33 уязвимости в фреймворке OpenClaw, 8 критических проблем были исправлены в выпуске 2026.3.28. Эти уязвимости раскрывают фундаментальные проблемы границ доверия в том, как развертываются агенты.

Конкретные уязвимости и их влияние

Обход изоляции песочницы

В версиях ≤2026.3.24 инструмент message принимает псевдонимы mediaUrl и fileUrl, которые обходят проверку песочницы. Это позволяет агентам, ограниченным песочницей, читать произвольные локальные файлы через эти параметры-псевдонимы, делая изоляцию неэффективной.

Повышение привилегий через сопряжение устройств

Путь команды /pair approve вызывал подтверждение устройства без передачи областей видимости вызывающего в основную проверку. Это означает, что пользователи с базовыми привилегиями сопряжения могли подтверждать ожидающие запросы устройств, запрашивающих более широкие области видимости, включая полный доступ администратора, фактически предоставляя себе разрешения, которых у них нет.

Неэффективность отзыва токенов

Когда токены отзываются для подозреваемых скомпрометированных устройств, шлюз только обновляет сохраненные учетные данные без разрыва уже аутентифицированных сессий WebSocket. Отозванные устройства могут продолжать использовать активные сессии, пока соединения не разорвутся естественным образом.

Уязвимость SSRF в провайдере изображений

При использовании провайдера fal для генерации изображений он использует сырые запросы как для API-трафика, так и для загрузки изображений, пропуская путь запроса, защищенный от SSRF. Это позволяет злонамеренным реле заставить шлюз получать внутренние URL-адреса и раскрывать ответы внутренних служб через конвейер изображений.

Деградация белого списка

Групповые белые списки на уровне маршрутов для платформ, таких как Google Chat или Zalo, тихо понижались с allowlist до open вместо сохранения групповых политик. Это позволяет любому участнику пространства из белого списка взаимодействовать с ботом, игнорируя ограничения на уровне отправителя.

Необходимые немедленные действия

• Проверьте свою версию OpenClaw. Если она ≤2026.3.24, немедленно обновитесь до 2026.3.28.
• Просмотрите журналы сопряжения на предмет неожиданных предоставлений прав администратора.
• Если вы недавно отозвали токен, принудительно перезапустите шлюз, чтобы завершить оставшиеся сессии WebSocket.

Аудит Ant AI Security Lab показывает, что хотя много внимания уделяется рискам безопасности LLM, таким как инъекция промптов, собственная проверка параметров фреймворка и границы доверия представляют критические уязвимости. Все 8 рекомендаций из аудита общедоступны на вкладке безопасности OpenClaw GitHub.