CVE-2026-32973 — 神龙十问 AI 深度分析摘要

🚨 **本质**：OpenClaw 的 exec 白名单机制存在**过度匹配**缺陷。 🔥 **后果**：攻击者可利用 `?` 通配符绕过限制，执行**非预期命令**或访问**非法路径**，导致系统被完全控制。

🛡️ **CWE**：CWE-625（**过度信任**不可信数据/模式匹配缺陷）。 🔍 **缺陷点**：`matchesExecAllowlistPattern` 函数在处理**小写**和**通配符**匹配时逻辑不严，导致跨路径段匹配。

📦 **厂商**：OpenClaw。 📦 **产品**：OpenClaw 智能人工助理。 ⚠️ **版本**：**2026.3.11 之前**的所有版本均受影响。

💀 **权限**：CVSS 评分极高 (H/H/H)，意味着**完全控制权**。 📂 **数据**：可读取、修改、删除任意敏感数据。 🖥️ **操作**：可执行任意系统命令，如同拥有最高权限。

🚪 **门槛**：**极低**。 🔑 **认证**：无需认证 (PR:N)。 🌐 **网络**：远程利用 (AV:N)。 🎯 **复杂度**：低 (AC:L)，无需用户交互 (UI:N)。

🧪 **PoC**：漏洞数据中 **pocs 为空**，暂无公开代码。 🌍 **在野**：无明确在野利用报告。 📢 **参考**：GitHub 和 VulnCheck 已发布安全公告，建议关注后续动态。

🔍 **自查**：检查 OpenClaw 版本是否 **< 2026.3.11**。 📝 **配置**：审查 `exec` 白名单配置，看是否使用了过于宽泛的通配符（如 `?` 或 `*`）。 🛠️ **扫描**：使用支持 CVE-2026-32973 检测的漏洞扫描器进行资产排查。

✅ **补丁**：官方已发布修复，升级至 **2026.3.11 或更高版本**即可。 📖 **详情**：参考 GitHub Security Advisory (GHSA-f8r2-vg7x-gh8m)。

🚧 **临时规避**：若无法立即升级，建议**严格限制** exec 白名单中的通配符使用。 🔒 **隔离**：将 OpenClaw 运行在**沙箱**或**容器**中，限制其系统调用权限。 👀 **监控**：加强日志审计，监控异常命令执行行为。

🔴 **优先级**：**紧急 (Critical)**。 ⚡ **理由**：CVSS 满分风险，远程无需认证即可利用，直接导致系统沦陷。 🏃 **行动**：立即制定升级计划，优先修复生产环境实例。