OpenClaw爆出「Claw Chain」漏洞鏈 憑證與權限安全拉警報

安全研究人員近日揭露了一系列影響 OpenClaw 開源 AI 代理框架的連環漏洞，被統稱為「Claw Chain」。這四個漏洞可被攻擊者串聯利用，實現從初始入侵、憑證竊取、權限提升到持久化後門植入的完整攻擊鏈。目前，OpenClaw 維護團隊已收到資料安全公司 Cyera 的報告，並完成所有漏洞的修復補丁。

本次發現的四個漏洞編號分別為 CVE-2026-44112、CVE-2026-44115、CVE-2026-44118 和 CVE-2026-44113。其中，CVE-2026-44118（CVSS 7.8）屬於因會話驗證不當導致的權限提升漏洞；CVE-2026-44113（CVSS 7.8）則是一個 TOCTOU（檢查時間與使用時間）漏洞，允許攻擊者越權存取系統設定檔、API 金鑰、憑證等敏感資料。另外兩個漏洞分別涉及環境變數洩漏與程式碼執行風險，組合後可突破 AI 代理的安全邊界，威脅與之相連的內部系統、雲端環境及 SaaS 應用。

OpenClaw 作為近期增長最快的 AI 代理工具，已被大量開發者用於部署自主 AI 助手。此次「Claw Chain」漏洞事件再次警示：企業在快速整合 AI 代理到敏感業務環境的同時，必須同步建立嚴格的安全審查與存取控制機制，否則將面臨資料洩露與權限失守的嚴重後果。安全專家建議，使用者應立即升級至最新修補版本，並評估自身部署中是否存在類似攻擊面。