揭露摘要
2026 年 2 月 6 日,OpenClaw 安全團隊收到一位獨立安全研究員的負責任揭露報告,指出 ClawHub 市集上安裝量最大的技能之一「DataBridge」存在嚴重漏洞。該漏洞現已編號為 CVE-2026-1847,允許特製的輸入酬載繞過技能的沙箱保護,未經授權讀取宿主系統的環境變數。在最壞的情況下,這可能暴露 OpenClaw 營運者部署環境中儲存的 API 金鑰、資料庫憑證和其他敏感設定資料。
在收到報告後的 12 小時內,OpenClaw 安全團隊確認了漏洞、通知了技能維護者,並發布了臨時公告,建議所有 DataBridge 使用者在修補程式發布前停用該技能。修補程式在初始報告後 36 小時內發布到 ClawHub,所有受影響的使用者透過 ClawHub 的自動更新系統收到了通知。截至本文撰寫時,沒有證據表明該漏洞在揭露前被實際利用。
OpenClaws.io 團隊希望藉此事件公開透明地說明發生了什麼、我們如何回應,以及我們正在採取哪些措施防止類似問題再次發生。
技術細節
漏洞存在於 DataBridge 的輸入解析模組中,該模組負責處理來自外部來源的結構化資料並將其提供給 OpenClaw 智能體。該模組使用了一個自訂反序列化常式,在特定條件下未能正確清理包含嵌入式 shell 元字元的輸入。當智能體處理惡意建構的資料酬載時,反序列化常式會無意中將未清理的字串傳遞給子程序呼叫,從而實現有限形式的命令注入。
沙箱逃逸之所以可能,是因為 DataBridge 在 ClawHub 審查過程中被授予了提升的權限。該技能的既定功能——在外部 API 和 OpenClaw 智能體之間橋接資料——需要存取網路資源和某些系統層級操作。審查團隊在初次提交時基於徹底的程式碼審查批准了這些權限。然而,技能的後續更新引入了存在漏洞的反序列化程式碼,增量審查流程未能發現這一回歸。
需要注意的是,該漏洞受到幾個因素的限制。首先,攻擊者需要控制或操縱 DataBridge 設定消費的外部資料來源。其次,命令注入僅限於讀取操作——攻擊者無法寫入檔案系統或執行任意程式。第三,OpenClaw 的預設安全設定限制了技能可見的環境變數,這對於未修改預設設定的營運者來說會降低影響。
事件時間線
以下時間線記錄了從初始發現到解決的關鍵事件:
- •2 月 6 日 08:14 UTC:安全研究員透過 OpenClaw 的負責任揭露計畫提交漏洞報告
- •2 月 6 日 09:30 UTC:OpenClaw 安全團隊確認收到並開始分類
- •2 月 6 日 14:22 UTC:漏洞確認並分類為嚴重(CVSS 8.6)
- •2 月 6 日 15:00 UTC:透過安全管道通知 DataBridge 維護者
- •2 月 6 日 16:45 UTC:發布臨時公告;ClawHub 為 DataBridge 標記安全警告
- •2 月 6 日 20:30 UTC:DataBridge 維護者提交初始修補程式供審查
- •2 月 7 日 03:15 UTC:安全團隊在初始修補程式中發現額外邊界情況;要求修訂
- •2 月 7 日 14:00 UTC:修訂修補程式提交並在全面測試後獲批
- •2 月 7 日 20:00 UTC:修補版本(DataBridge v2.4.1)發布到 ClawHub
- •2 月 7 日 20:15 UTC:向所有 DataBridge 使用者傳送自動通知,建議立即更新
- •2 月 8 日 10:00 UTC:發布包含完整技術細節的公開安全公告
社群回應
社群對此事件的回應堪稱典範。在初始公告發布後的幾個小時內,多位經驗豐富的社群成員自願稽核 ClawHub 上其他高權限技能是否存在類似漏洞。這次臨時安全審查最終有超過 40 位貢獻者參與,檢查了安裝量最大的 100 個技能,發現了三個額外的潛在不安全反序列化模式實例,雖然都未達到可利用漏洞的程度,但均被標記為需要修復。
DataBridge 維護者的回應同樣值得稱讚。他們對錯誤保持透明,積極回應安全團隊的回饋,並主動與使用者溝通。在 OpenClaw 論壇上的一篇貼文中,他們提供了詳細的事後分析,解釋了漏洞程式碼是如何引入的以及他們正在採取哪些措施防止類似問題。
經驗教訓與政策變更
此事件促成了 ClawHub 安全流程的幾項具體變更。我們希望公開分享這些變更,以便社群了解我們正在做什麼並監督我們。
首先,我們正在加強技能更新的增量審查流程。此前,現有技能的更新比初始提交經歷更輕量的審查。今後,任何修改安全敏感區域程式碼的更新——包括輸入解析、網路通訊和系統呼叫——都將觸發與初始提交流程等效的完整安全審查。
其次,我們正在為所有技能提交和更新引入自動靜態分析掃描。此掃描將檢查常見的漏洞模式,包括不安全的反序列化、命令注入、路徑遍歷和其他 OWASP 分類的風險。
第三,我們正在實施更細粒度的技能權限模型。技能將需要請求特定的、範圍狹窄的權限,而不是授予廣泛的存取類別。
第四,我們正在透過正式的漏洞獎勵計畫擴展我們的負責任揭露計畫。識別並負責任地揭露 ClawHub 技能或 OpenClaw 核心框架漏洞的安全研究人員將有資格獲得與其發現嚴重程度相稱的經濟獎勵。
對營運者的建議
鑑於此事件,我們建議所有 OpenClaw 營運者採取以下步驟加強安全態勢:審查已安裝 ClawHub 技能的權限並撤銷非必要的權限;確保敏感憑證儲存在專用的金鑰管理器中,而非直接儲存在 OpenClaw 程序可存取的環境變數中;啟用 ClawHub 的自動更新功能以確保安全修補程式及時套用;並監控 OpenClaw 安全公告來源以獲取未來通知。
OpenClaws.io 團隊嚴肅對待生態系的安全。沒有軟體能免於漏洞,但我們致力於在問題出現時快速、透明、果斷地回應。我們感謝報告此漏洞的安全研究員和參與回應的社群成員。