CVE-2026-25253 深度解析:一键点击即可接管你的 OpenClaw 网关
要点速览
CVE-2026-25253 是 OpenClaw Control UI 中一个 CVSS 8.8 的严重漏洞,可实现一键远程代码执行。如果你使用的版本低于 v2026.1.29,必须立即升级。即使绑定 localhost 也无法幸免。
漏洞原理
该漏洞由 Depthfirst 研究人员发现,2026 年 2 月 1 日公开披露。攻击链如下:
- OpenClaw 的 Control UI 接受 URL 查询参数中的
gatewayUrl,未做任何校验 - 用户点击恶意链接后,UI 自动向攻击者服务器发起 WebSocket 连接
- 存储的网关认证令牌随连接一并发送
- 攻击者捕获令牌后,反向连接受害者的 OpenClaw 网关
- 拿到令牌 = 网关完全控制 = 任意命令执行
为什么绑定 localhost 也不安全?
很多人以为绑定 127.0.0.1 就安全了。不是的。 攻击通过受害者自己的浏览器发起——浏览器从 localhost 发出 WebSocket 连接。网关根本不需要暴露在公网上。
正如 Conscia 的分析所述:
“任何已登录 Control UI 的用户,只要访问恶意页面或点击构造的链接,都面临风险。“
事件时间线
| 日期 | 事件 |
|---|---|
| 2026年1月底 | Depthfirst 发现漏洞 |
| 1月29日 | OpenClaw 发布 v2026.1.29 修复(移除 auth mode “none”) |
| 2月1日 | Depthfirst 公开披露 |
| 2月2日 | 比利时网络安全中心 (CCB) 发布紧急通告 |
| 2月5日 | 中国工信部 NVDB 发布安全警报,称 OpenClaw 默认配置存在”高安全风险” |
| 2月19日 | 微软安全博客发布隔离部署指南 |
| 2月20日 | SecureClaw 开源审计工具首发 |
你受影响了吗?
如果满足以下条件,答案是”是”:
- 曾运行过 v2026.1.24-1 或更早 版本
- 使用 v2026.1.29 之前的版本且 auth mode 为 “none”(原默认值)
检查版本:
openclaw --version低于 2026.1.29?立即升级。
修复步骤
1. 升级 OpenClaw
npm update -g openclaw
# 或
openclaw update确认版本 ≥ v2026.1.29(当前最新:v2026.2.19)。
2. 轮换网关令牌
即使已升级,旧令牌可能已被窃取。务必轮换:
openclaw gateway token --rotate3. 排查入侵痕迹
检查网关日志中的异常 WebSocket 连接:
grep -i "websocket" ~/.openclaw/logs/gateway.log | grep -v "localhost"审查近期命令历史,排查非本人操作。
4. 遵循隔离最佳实践
微软 2 月 19 日指南建议:
- 不要在个人/企业工作站上运行 — 使用专用虚拟机或容器
- 启用强制网关令牌验证(v2026.1.29 起默认开启)
- 绑定回环地址且启用认证 — 单独使用任一措施都不够
- 考虑网络级隔离(防火墙规则、VPN)
相关漏洞与事件
此 CVE 是 2026 年 2 月 OpenClaw 安全危机的一部分:
- CVE-2026-25157 — 1月25日修复 (v2026.1.25)
- CVE-2026-26326 — skills.status 向 operator.read 客户端泄露密钥(2月17日披露)
- Cline CLI 2.3.0 供应链攻击 — 恶意 npm 包在开发者系统安装 OpenClaw(2月17日)
- 恶意 “ClawdBot Agent” VS Code 扩展 — 1月27日出现在市场
更大的教训
“控制平面中看似微小的信任决策,可以坍缩为’一次点击 → 凭证丢失 → 特权控制’。”
OpenClaw 能访问你的邮箱、日历、聊天和 Shell。网关被攻陷意味着这一切都被攻陷了。教训:把你的 OpenClaw 实例当生产服务器对待,而非玩具。
延伸阅读
- OpenClaw 安全加固指南 — 通用加固步骤
- OpenClaw VPS 部署完全指南 — 安全远程部署
- 什么是 OpenClaw? — 入门概览
- Adversa.ai: OpenClaw 安全 101 — 全面外部分析
- 卡巴斯基: OpenClaw 关键风险 — 企业风险视角