OpenClaw 存在未验证的反向代理漏洞(CVE-2026-32302)
一、漏洞信息
1.漏洞类型:身份认证绕过(Authentication Bypass)。具体表现为利用未经验证的反向代理机制,导致攻击者可以伪造或继承合法用户的会话权限。
2.影响产品及版本:漏洞影响产品为 OpenClaw(一款开源的多平台 AI 私人助理),受影响的版本为 2026.3.11 之前的所有版本。该漏洞涉及 Mac、Windows 及 Linux 平台。
3.攻击场景:攻击者可能利用 gateway.auth.mode 配置为 trusted-proxy 且系统启用了代理标头验证的场景进行攻击。当用户浏览器连接至支持 WebSocket 的后端服务时,若请求头中包含特定的代理认证标识(Header),不受信任的页面可通过配置了可信反向代理的系统,直接继承该认证身份,从而建立特权操作员会话。攻击者无需拥有合法凭证即可访问受限功能。
4.在野利用情况:根据当前情报分析,该漏洞目前标记为"未在野观察到实际利用迹象"(In the Wild: False)。主要基于 GitHub 安全公告已发布修复补丁,且尚未发现公开的 PoC(概念验证代码)或 Exploit(利用程序)在暗网或黑产渠道广泛传播。但由于其 CVSS v3 基础评分为 8.1(高危),且需要用户交互(UI: R),潜在风险依然较高。
5.威胁团伙:暂无情报表明该漏洞与特定已知的高级持续性威胁(APT)组织或勒索软件团伙存在直接关联。此类架构缺陷通常被通用的漏洞扫描器或自动化脚本作为优先攻击目标。
二、安全活动事件分析
事件一:2026 年 03 月 13 日,OpenClaw 项目官方安全团队披露了该未验证的反向代理漏洞,并发布了 GHSA-5wcw-8jjv-m286 安全公告,指出在旧版本中存在通过 WebSocket 连接绕过源认证的风险。
事件二:2026 年 03 月 14 日,相关安全社区监测到 OpenClaw 官方发布了 v2026.3.11 版本更新日志,该版本明确修复了上述身份认证绕过问题,修复提交记录编号为 ebed3bbde1a72a1aaa9b87b63b91e7c04a50036b。
三、技术分析
分析:基于当前情报,该漏洞的核心成因在于系统过度信任上游反向代理传递的 HTTP 头部信息。在 gateway.auth.mode 设置为 trusted-proxy 时,后端服务未对 WebSocket 握手请求中的原始来源进行二次校验,直接采纳了代理标头中的认证信息。
攻击者可能将该漏洞用于以下目的:
1.权限提升:普通用户在诱导点击恶意链接后,可伪装成管理员或通过受信任的代理节点,获取高级操作权限(如控制其他设备的 AI 助手功能)。
2.数据窃取:建立非法会话后,攻击者可监听或篡改 AI 处理过程中的敏感数据,特别是涉及跨应用(WhatsApp, Telegram 等)自动化操作的指令和数据。
3.中间人攻击加固:利用此漏洞绕过安全检测机制,作为进一步渗透内部网络的跳板。
建议重点关注运行在公共网络环境下的 OpenClaw 实例,尤其是那些为了简化部署而将认证模式设为 trusted-proxy 的用户。
四、建议措施:
立即升级系统:这是最有效的缓解方案。请务必将 OpenClaw 升级至 2026.3.11 或更高版本。新版本已修复了 WebSocket 连接的身份验证逻辑。
配置审查:在未完成升级前,请严格检查 gateway.auth.mode 配置项。若非必须,建议不要将其设置为 trusted-proxy 模式;若必须使用,请确保上游代理服务器经过严格的安全审计和物理隔离。
强化输入验证:在后续开发或临时配置中,应实施严格的“零信任”原则。后端服务不应完全依赖单一代理标头进行身份识别,需结合客户端指纹、Token 验证等多因素认证机制。
监控异常连接:利用 WAF 或入侵检测系统(IDS),监控是否存在带有异常代理标头的 WebSocket 高频连接请求,特别是来自非受信 IP 段的数据包。
网络层限制:确保所有 WebSocket 连接仅允许来自受信任的网络子网发起,减少攻击面。
五、结论概述
综合分析开源情报和技术细节,我们得出结论:OpenClaw 存在的未验证反向代理漏洞(CVE-2026-32302)是一个典型的高危架构缺陷。虽然目前尚未在野外被大规模利用,但考虑到其涉及身份认证绕过且能直接影响 AI 助手的控制权,一旦遭遇针对性攻击,可能导致严重的隐私泄露和操作失控风险。鉴于修复版本(v2026.3.11)已经发布,各相关运营方应立即执行升级计划,以彻底阻断潜在的利用路径。