披露摘要
2026 年 2 月 6 日,OpenClaw 安全团队收到一位独立安全研究员的负责任披露报告,指出 ClawHub 市场上安装量最大的技能之一「DataBridge」存在严重漏洞。该漏洞现已编号为 CVE-2026-1847,允许特制的输入载荷绕过技能的沙箱保护,未经授权读取宿主系统的环境变量。在最坏的情况下,这可能暴露 OpenClaw 运营者部署环境中存储的 API 密钥、数据库凭据和其他敏感配置数据。
在收到报告后的 12 小时内,OpenClaw 安全团队确认了漏洞、通知了技能维护者,并发布了临时公告,建议所有 DataBridge 用户在补丁发布前禁用该技能。修复补丁在初始报告后 36 小时内发布到 ClawHub,所有受影响的用户通过 ClawHub 的自动更新系统收到了通知。截至本文撰写时,没有证据表明该漏洞在披露前被实际利用。
OpenClaws.io 团队希望借此事件公开透明地说明发生了什么、我们如何响应,以及我们正在采取哪些措施防止类似问题再次发生。
技术细节
漏洞存在于 DataBridge 的输入解析模块中,该模块负责处理来自外部源的结构化数据并将其提供给 OpenClaw 智能体。该模块使用了一个自定义反序列化例程,在特定条件下未能正确清理包含嵌入式 shell 元字符的输入。当智能体处理恶意构造的数据载荷时,反序列化例程会无意中将未清理的字符串传递给子进程调用,从而实现有限形式的命令注入。
沙箱逃逸之所以可能,是因为 DataBridge 在 ClawHub 审查过程中被授予了提升的权限。该技能的既定功能——在外部 API 和 OpenClaw 智能体之间桥接数据——需要访问网络资源和某些系统级操作。审查团队在初次提交时基于彻底的代码审查批准了这些权限。然而,技能的后续更新引入了存在漏洞的反序列化代码,增量审查流程未能发现这一回归。
需要注意的是,该漏洞受到几个因素的限制。首先,攻击者需要控制或操纵 DataBridge 配置消费的外部数据源。其次,命令注入仅限于读取操作——攻击者无法写入文件系统或执行任意程序。第三,OpenClaw 的默认安全配置限制了技能可见的环境变量,这对于未修改默认设置的运营者来说会降低影响。
事件时间线
以下时间线记录了从初始发现到解决的关键事件:
- •2 月 6 日 08:14 UTC:安全研究员通过 OpenClaw 的负责任披露计划提交漏洞报告
- •2 月 6 日 09:30 UTC:OpenClaw 安全团队确认收到并开始分类
- •2 月 6 日 14:22 UTC:漏洞确认并分类为严重(CVSS 8.6)
- •2 月 6 日 15:00 UTC:通过安全渠道通知 DataBridge 维护者
- •2 月 6 日 16:45 UTC:发布临时公告;ClawHub 为 DataBridge 标记安全警告
- •2 月 6 日 20:30 UTC:DataBridge 维护者提交初始补丁供审查
- •2 月 7 日 03:15 UTC:安全团队在初始补丁中发现额外边界情况;要求修订
- •2 月 7 日 14:00 UTC:修订补丁提交并在全面测试后获批
- •2 月 7 日 20:00 UTC:修补版本(DataBridge v2.4.1)发布到 ClawHub
- •2 月 7 日 20:15 UTC:向所有 DataBridge 用户发送自动通知,建议立即更新
- •2 月 8 日 10:00 UTC:发布包含完整技术细节的公开安全公告
社区响应
社区对此事件的响应堪称典范。在初始公告发布后的几个小时内,多位经验丰富的社区成员自愿审计 ClawHub 上其他高权限技能是否存在类似漏洞。这次临时安全审查最终有超过 40 位贡献者参与,检查了安装量最大的 100 个技能,发现了三个额外的潜在不安全反序列化模式实例,虽然都未达到可利用漏洞的程度,但均被标记为需要修复。
DataBridge 维护者的响应同样值得称赞。他们对错误保持透明,积极响应安全团队的反馈,并主动与用户沟通。在 OpenClaw 论坛上的一篇帖子中,他们提供了详细的事后分析,解释了漏洞代码是如何引入的以及他们正在采取哪些措施防止类似问题。
经验教训与政策变更
此事件促成了 ClawHub 安全流程的几项具体变更。我们希望公开分享这些变更,以便社区了解我们正在做什么并监督我们。
首先,我们正在加强技能更新的增量审查流程。此前,现有技能的更新比初始提交经历更轻量的审查。今后,任何修改安全敏感区域代码的更新——包括输入解析、网络通信和系统调用——都将触发与初始提交流程等效的完整安全审查。
其次,我们正在为所有技能提交和更新引入自动静态分析扫描。此扫描将检查常见的漏洞模式,包括不安全的反序列化、命令注入、路径遍历和其他 OWASP 分类的风险。
第三,我们正在实施更细粒度的技能权限模型。技能将需要请求特定的、范围狭窄的权限,而不是授予广泛的访问类别。
第四,我们正在通过正式的漏洞赏金计划扩展我们的负责任披露计划。识别并负责任地披露 ClawHub 技能或 OpenClaw 核心框架漏洞的安全研究人员将有资格获得与其发现严重程度相称的经济奖励。
对运营者的建议
鉴于此事件,我们建议所有 OpenClaw 运营者采取以下步骤加强安全态势:审查已安装 ClawHub 技能的权限并撤销非必要的权限;确保敏感凭据存储在专用的密钥管理器中,而非直接存储在 OpenClaw 进程可访问的环境变量中;启用 ClawHub 的自动更新功能以确保安全补丁及时应用;并监控 OpenClaw 安全公告源以获取未来通知。
OpenClaws.io 团队严肃对待生态系统的安全。没有软件能免于漏洞,但我们致力于在问题出现时快速、透明、果断地响应。我们感谢报告此漏洞的安全研究员和参与响应的社区成员。