OpenClaw: OpenShell 镜像同步 — 通过不受限制的文件同步 + 符号链接遍历实现沙箱逃逸

## 概述 OpenShell 镜像同步：通过不受限制的文件同步 + 符号链接遍历实现沙箱逃逸 ## 当前维护者分类 - 状态：narrow - 规范化严重性：high - 评估：v2026.3.28 仍然存在镜像边界错误，因为发布的 c02ee8 仅排除了 hooks，而未发布的 3b9dab 是第一个完整的无符号链接上传和下载强化。 ## 受影响的包/版本 - 包：`openclaw` (npm) - 最新发布的 npm 版本：`2026.3.31` - 漏洞版本范围：`<=2026.3.28` - 修复版本：`>= 2026.3.31` - 包含修复的第一个稳定标签：`v2026.3.31` ## 修复提交 - `c02ee8a3a4cb390b23afdf21317aa8b2096854d1` — 2026-03-25T19:59:07Z - `3b9dab0ece4643a9643e6a45459f5c709d3ce320` — 2026-03-30T14:51:44+01:00 OpenClaw 感谢 @AntAISecurityLab 的报告。