CVE-2026-32915 涉及 OpenClaw 中的一个沙盒绕过漏洞,允许低权限的沙盒子代理访问子代理控制界面。受影响的版本为 0–2026.3.11。该漏洞的 CVSS 评分为 8.8 (HIGH)。 修复版本为 2026.3.11,建议尽快更新。
OpenClaw中的CVE-2026-32915,CVSS评分8.8,允许叶子子代理绕过沙箱边界。这意味着它们可以访问子代理控制表面,并在其自身的会话树而不是父请求器范围中解析。低权限的沙箱化叶子工作进程可以通过利用子代理控制请求中的不充分授权检查来引导或终止兄弟进程,并以更广泛的工具策略执行。主要影响是在沙箱环境中的潜在特权提升,允许恶意行为者影响其他进程的执行并访问通常受限的资源。
利用此漏洞需要叶子子代理访问系统并能够向子代理系统发送控制请求。由于OpenClaw用于高性能计算和模拟环境,子代理通常在隔离的环境中运行。但是,如果攻击者能够破坏叶子子代理,则可以使用此漏洞来获得对OpenClaw环境的重大控制。利用的复杂性取决于特定的OpenClaw配置和实施的访问控制策略。
Organizations and individuals relying on OpenClaw for sandboxed execution environments are at risk. This includes those using OpenClaw for secure computation, data processing, or running untrusted code. Specifically, deployments with complex subagent hierarchies and relaxed access control policies are particularly vulnerable.
disclosure
漏洞利用状态
EPSS
0.01% (2% 百分位)
CISA SSVC
CVE-2026-32915的主要缓解措施是将OpenClaw升级到版本2026.3.11或更高版本。此版本包含修复程序,以解决允许沙箱绕过的不足授权检查。建议尽快应用此更新,尤其是在沙箱安全至关重要的环境中。此外,请审查OpenClaw的访问控制策略,以确保应用最小权限原则。监控OpenClaw日志以查找可疑活动也有助于检测和响应潜在的漏洞利用。
将 OpenClaw 更新到 2026.3.11 或更高版本。此版本通过在子代理控制请求上实施适当的授权检查来修复沙盒边界绕过漏洞。
漏洞分析和关键警报直接发送到您的邮箱。
OpenClaw是一个开源物理模拟器,旨在模拟流体动力学和其他复杂的物理现象。
沙箱是一个隔离的环境,它限制了程序对系统资源的访问。在OpenClaw中,沙箱用于隔离子代理并防止它们相互干扰。
检查您的OpenClaw版本。如果早于2026.3.11,则您容易受到攻击。请参阅OpenClaw文档以获取如何检查版本的说明。
如果无法立即更新,请考虑实施更严格的访问控制并监控OpenClaw日志以查找可疑活动。
请参阅OpenClaw安全公告和国家漏洞数据库(NVD)等漏洞数据库。
CVSS 向量