平台
nodejs
组件
openclaw
修复版本
2026.3.12
2026.3.12
CVE-2026-32920是一个安全漏洞,存在于OpenClaw 2026.3.12之前的版本中,它允许未经授权的插件加载和执行,从而导致任意代码执行。攻击者可以通过在克隆的存储库中包含特制的workspace插件来利用此漏洞,当用户从该目录运行OpenClaw时,这些插件将被执行。受影响的版本包括0到2026.3.12。此漏洞已在2026.3.12版本中修复。
OpenClaw中的CVE-2026-32920漏洞允许执行任意代码。OpenClaw在没有明确信任或安装步骤的情况下,自动从当前工作区中的.openclaw/extensions/目录加载插件。恶意仓库可能包含一个精心设计的 workspaces 插件,当用户从该克隆目录运行OpenClaw时,该插件将自动执行。这构成重大的安全风险,因为攻击者可能会破坏用户的系统。
攻击者可以创建一个包含旨在执行恶意代码的插件的恶意仓库。通过克隆此仓库并运行OpenClaw,该插件将自动加载和执行,从而使攻击者能够控制用户的系统。这在用户从未知或未经验证的来源克隆仓库的环境中尤其令人担忧。此漏洞易于利用,使其成为修复的优先事项。
Developers and users of OpenClaw who routinely clone repositories from untrusted sources are at the highest risk. This includes those working in environments where automated build processes or continuous integration pipelines pull code from external sources without adequate security checks. Shared hosting environments where multiple users have access to the same repository are also particularly vulnerable.
• nodejs / supply-chain:
npm list openclaw• nodejs / supply-chain:
npm ls openclaw --depth=0• generic web: Check for the existence of .openclaw/extensions/ directories in cloned repositories, especially those from untrusted sources.
disclosure
漏洞利用状态
EPSS
0.04% (13% 百分位)
CISA SSVC
为了减轻此漏洞,请将OpenClaw更新到版本2026.3.12或更高版本。此版本通过在加载插件之前要求明确的信任验证来修复此问题。此外,请避免在不受信任的仓库或未经验证的仓库中运行OpenClaw。考虑实施安全策略,以限制对扩展目录的访问,并要求在插件使用之前手动批准插件。更新是最高效和推荐的解决方案。
请将 OpenClaw 更新到 2026.3.12 或更高版本。这将防止从 .OpenClaw/extensions/ 目录加载未经验证的插件时执行任意代码。
漏洞分析和关键警报直接发送到您的邮箱。
OpenClaw是一种允许在现代硬件上运行旧版计算机游戏的软件。
CVE-2026-32920是此安全漏洞的唯一标识符。
如果您使用的是OpenClaw 2026.3.11之前的版本,则很可能受到影响。
在您能够更新之前,请避免在不受信任的仓库中运行OpenClaw。
目前没有用于检测OpenClaw恶意插件的特定工具。更新到最新版本是最好的防御。