CVE-2026-28446 — 神龙十问 AI 深度分析摘要
CVSS 9.4 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:入站允许列表策略验证存在**身份验证绕过**。 🔥 **后果**:远程攻击者可绕过访问控制,直接入侵系统。
Q2根本原因?(CWE/缺陷点)
🛡️ **缺陷点**:入站允许列表(Inbound Allowlist)策略验证逻辑存在缺陷。 🔍 **CWE**:数据未提供具体CWE ID,但属于**访问控制绕过**类问题。
Q3影响谁?(版本/组件)
🎯 **受影响产品**:**OpenClaw**(智能人工助理)。 📉 **危险版本**:**2026.2.1 之前**的所有版本。
Q4黑客能干啥?(权限/数据)
💀 **黑客能力**: - **完全绕过**入站访问控制。 - 利用参考链接暗示:通过**空 Caller ID** 和 **后缀匹配**漏洞,在 `voice-call` 扩展中实施攻击。 - 权限提升:可执行未授权操作。
Q5利用门槛高吗?(认证/配置)
🚪 **利用门槛**:**极低**。 - **无需认证**(PR:N)。 - **无需用户交互**(UI:N)。 - **网络远程**即可利用(AV:N)。 - 攻击复杂度低(AC:L)。
Q6有现成Exp吗?(PoC/在野利用)
💣 **Exp/PoC**:目前**无公开现成Exp**(PoCs 列表为空)。 ⚠️ 但已有第三方详细分析报告,技术细节已泄露,利用风险极高。
Q7怎么自查?(特征/扫描)
🔍 **自查方法**: 1. 检查 OpenClaw 版本是否 **< 2026.2.1**。 2. 审查 `voice-call` 扩展配置。 3. 监控入站呼叫中是否存在 **空 Caller ID** 或异常后缀匹配请求。
Q8官方修了吗?(补丁/缓解)
🩹 **官方修复**:**已修复**。 - 补丁提交:`f8dfd034f5d9235c5485f492a9e4ccc114e97fdb`。 - 建议立即升级至 **2026.2.1 或更高版本**。
Q9没补丁咋办?(临时规避)
🛑 **临时规避**: - 若无法立即升级,建议**禁用**或严格限制 `voice-call` 扩展。 - 配置防火墙,**拒绝**来源标识为空或异常的入站呼叫。 - 实施严格的 Caller ID 验证策略。
Q10急不急?(优先级建议)
🚨 **优先级**:**紧急 (Critical)**。 - CVSS 评分高(C:H, I:H)。 - 远程无需认证即可利用。 - **立即行动**:升级补丁或实施网络层隔离。