摘要: OpenClaw 在 2026.3.28 之前版本中存在权限升级漏洞。该漏洞位于 /pair approve 命令路径,由于 extensions/device-pair/index.ts 和 src/infra/device-pairing.ts 中缺少对调用者范围的验证,攻击者可以利用此漏洞将具有 pairing 权限但无管理员权限的账户提升为管理员权限。
讨论:
OpenClaw存在权限提升漏洞,攻击者需已获得网关访问权限并具备发送命令的能力,通过/pair approve latest命令批准请求以获取更高权限(如operator.admin)。漏洞源于未完全修复的插件命令处理逻辑,部分路径未正确传递调用者权限范围。该漏洞对单用户个人助手场景影响较低,但暴露了代码安全缺陷。社区讨论中,有人质疑OpenClaw安全性(累计400+漏洞),认为其存在过度风险,但也有观点认为技术便利性与安全性的权衡是必然。
原文标题:OpenClaw privilege escalation vulnerability
原文链接:https://nvd.nist.gov/vuln/detail/CVE-2026-33579
讨论链接:https://news.ycombinator.com/item?id=47628608