CVE-2026-28363 — 神龙十问 AI 深度分析摘要
CVSS 9.9 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:OpenClaw 的 `tools.exec.safeBins` 验证逻辑存在缺陷,可被绕过。 💥 **后果**:导致**未经批准的代码执行**,系统完整性受损。
Q2根本原因?(CWE/缺陷点)
🛡️ **CWE-184**:不完整的黑名单/检查列表。 🔍 **缺陷点**:`safeBins` 验证机制失效,无法正确拦截恶意输入。
Q3影响谁?(版本/组件)
📦 **厂商**:OpenClaw。 📅 **版本**:**OpenClaw 2026.2.23 之前**的所有版本均受影响。
Q4黑客能干啥?(权限/数据)
🔓 **权限**:攻击者可执行任意代码。 📊 **数据**:CVSS 评分显示 **C:H/I:H/A:H**(高机密性/完整性/可用性影响),数据泄露或服务中断风险极大。
Q5利用门槛高吗?(认证/配置)
🔑 **认证**:CVSS 显示 **PR:L**(需要低权限认证)。 🌐 **攻击向量**:**AV:N**(网络远程)。 👀 **用户交互**:**UI:N**(无需用户交互)。
Q6有现成Exp吗?(PoC/在野利用)
📜 **PoC**:数据中 `pocs` 为空,暂无公开利用代码。 🌍 **在野**:无相关在野利用报告。
Q7怎么自查?(特征/扫描)
🔍 **自查**:检查 OpenClaw 版本号是否 **< 2026.2.23**。 📡 **扫描**:关注 `tools.exec` 模块的输入验证逻辑。
Q8官方修了吗?(补丁/缓解)
🛠️ **补丁**:官方已发布安全公告(GHSA-3c6h-g97w-fg78)。 ✅ **修复**:升级至 **2026.2.23 或更高版本**即可修复。
Q9没补丁咋办?(临时规避)
⚠️ **临时规避**:若无补丁,建议**限制 `tools.exec` 的访问权限**,或禁用非必要的执行工具功能。 🚫 **隔离**:对受影响服务进行网络隔离。
Q10急不急?(优先级建议)
🔥 **优先级**:**紧急**。 📈 **理由**:CVSS 向量显示 **S:C**(影响范围扩大),且为远程可利用的代码执行漏洞,建议立即升级。