平台
nodejs
组件
openclaw
修复版本
2026.3.11
2026.3.11
CVE-2026-32918 涉及 OpenClaw 中的一个会话沙盒逃逸漏洞,允许沙盒子代理访问父或同级会话状态。受影响的版本为 0–2026.3.11。该漏洞的 CVSS 评分为 8.4 (HIGH)。 修复版本为 2026.3.11,建议尽快更新。
OpenClaw 中的 CVE-2026-32918 影响了内部工具 session_status,该工具没有正确执行会话可见性边界。沙盒化的子代理可以提供另一个会话的 sessionKey,并检查或修改其自身沙盒范围之外的状态。这构成了一个重大的安全风险,因为恶意子代理可能会访问敏感信息或更改其他会话的行为。
利用此漏洞需要沙盒化的子代理能够获取另一个会话的 sessionKey。这可能是由于沙盒配置不正确或存在其他漏洞,允许子代理逃脱其隔离环境造成的。一旦攻击者获得了 sessionKey,他们就可以使用它来读取或修改目标会话中的数据,包括持久模型。
Applications and services relying on openclaw for sandboxing and session management are at risk. This includes systems where subagents are used to extend the functionality of the main application, particularly those handling sensitive user data or financial transactions. Organizations using legacy openclaw configurations or those with limited resources for timely patching are particularly vulnerable.
• nodejs:
npm list openclawThis command will list installed openclaw versions. Check if the version is <= 2026.3.8. • nodejs:
find / -name "openclaw*" -type d -printThis command searches for openclaw related directories, which may indicate installation locations. • generic web: Review openclaw logs for unusual session activity or attempts to access data outside the expected scope. Look for patterns indicative of a sandboxed subagent attempting to access other session keys.
disclosure
漏洞利用状态
EPSS
0.01% (2% 百分位)
CISA SSVC
为了减轻这种风险,建议将 OpenClaw 更新到 2026.3.11 或更高版本。此版本包含一个修复程序,可以加强会话可见性边界的执行,从而防止未经授权访问其他会话的数据。此外,请审查沙盒化子代理的配置,以确保它们仅访问其操作所需的资源,从而最大限度地减少攻击面。更新是最有效的解决方案,并强烈建议。
将 OpenClaw 更新到 2026.3.11 或更高版本。 此版本修复了 session_status 工具中的会话沙盒逃逸漏洞。
漏洞分析和关键警报直接发送到您的邮箱。
OpenClaw 是一个在沙盒环境中运行 AI 代理的框架。
沙盒是一个隔离的环境,它限制了代理对系统资源的访问,防止其造成损害或访问机密信息。
您可以通过在命令行中运行 openclaw --version 命令来验证您的 OpenClaw 版本。
如果您无法立即更新,请考虑限制沙盒化子代理对系统资源的访问,并监控会话活动以查找可疑行为。
您可以在 OpenClaw 官方文档和国家漏洞数据库 (NVD) 等漏洞数据库中找到有关此漏洞的更多信息。
CVSS 向量