研究人员披露利用三个 OpenClaw 漏洞实现 WhatsApp 到主机的攻击链

研究人员披露利用三个 OpenClaw 漏洞实现 WhatsApp 到主机的攻击链

导语:安全研究员 Chinmohan Nayak 详细披露了 OpenClaw 个人 AI 助手中三个已修复安全漏洞的攻击链,攻击者仅需通过 WhatsApp 发送一条外部消息,即可触发沙箱逃逸、凭据窃取并在主机上执行任意代码。

OpenClaw 个人人工智能(AI)助手中三个已被修复的安全漏洞细节近日被披露。若被成功利用,这些漏洞可导致凭据窃取、权限提升,以及在主机上实现任意代码执行。

这三个高严重性漏洞的简要说明如下:GHSA-hjr6-g723-hmfm(CVSS 评分:8.8)——一个操作系统层面的安全问题,以及 GHSA-575v-8hfq-m3mc 等相关缺陷。这些漏洞涉及绑定挂载(bind mount)黑名单绕过、目录遍历以及外部协议辅助程序的滥用等多个层面。OpenClaw 维护方已在 OpenClaw 2026.6.6 版本中修复了全部三个缺陷。

在 OpenClaw 维护团队上周发布的一系列安全公告中,其表示"实际影响取决于运维人员的配置,以及低信任度输入是否能够到达该路径。"然而,安全研究员 Chinmohan Nayak——这三个问题的发现者和报告者——在接受 The Hacker News 采访时表示,这些漏洞可以被用于通过 WhatsApp 发送的外部消息来触发主机上的代码执行。

与 Cyera 于今年五月披露的 Claw Chain 漏洞不同,新发现的这些漏洞不需要攻击者事先在系统中建立立足点,便可窃取敏感数据、植入持久化后门、获得任意远程代码执行能力,并实现从沙箱逃逸到主机的攻击。Nayak 在一份报告中详细描述了完整的攻击链路。

原文配图

针对 GHSA-575v-8hfq-m3mc,研究员解释道:"`getBlockedReasonForSourcePath()` 会检查源路径是否位于被阻止的路径之下,但它从未进行反向检查——即被阻止的路径是否位于源路径之下(父目录绕过)。"具体而言,绑定挂载的黑名单会阻止诸如 `~/.ssh`、`~/.aws` 和 `~/.gnupg` 之类的目录,但却允许挂载其父目录 `/home` 或 `/var`,从而使得针对单个目录的阻止措施被绕过。

Nayak 指出:"将 `/home` 挂载到你的容器中,你就可以读取每个用户的 SSH 密钥、AWS 凭据和 GPG 密钥。将 `/var` 挂载进去,你就能获得 Docker socket——这意味着可以从所谓'沙箱'内部实现完整的主机逃逸。"这种设计缺陷使得沙箱隔离形同虚设,攻击者能够直接访问主机上的敏感资源和控制接口。

除了将 OpenClaw 升级到最新版本外,建议为所有非主会话启用沙箱模式,从面向通道的代理(channel-facing agents)的工具允许列表中移除 "exec",并监控包含 `ext::` 外部协议辅助程序的 git clone 命令,因为该辅助程序可能被滥用来执行任意系统命令。

OpenClaw 方面建议:"在升级之前,应将受影响功能限制为受信任的运维人员使用,或在不需要时将其禁用。作为通用加固措施,应保持通道和工具允许列表的最小化,避免在互不信任的用户之间共享同一个网关,并在不需要时禁用受影响的功能。"


来源信息

来源:The Hacker News

原文链接:https://thehackernews.com/2026/07/researcher-details-whatsapp-to-host.html

作者:info@thehackernews.com (The Hacker News)