安全研究人员在开源AI Agent框架OpenClaw中发现六个高危漏洞，该框架被业界称为"AI Agent的社交媒体平台"。Endor Labs团队通过AI驱动的静态应用安全测试（SAST）引擎，追踪了不可信数据在框架各层的流转路径，最终暴露出包括服务端请求伪造（SSRF）、认证绕过和路径遍历在内的可被利用缺陷。

漏洞类型与危害分析

这些漏洞横跨多个Web安全领域，影响结合了大型语言模型（LLMs）、工具执行与外部集成的复杂Agent系统。研究人员已发布所有漏洞的可用PoC，证实其实际可被利用。OpenClaw官方随后发布补丁和安全公告。

Endor Labs按漏洞类型和单独严重性（而非CVE编号）对六大漏洞进行分类披露：

• SSRF类漏洞
  涉及三个不同组件：网关组件（CVSS 7.6）允许用户提供URL建立出站WebSocket连接；Urbit认证模块SSRF（CVSS 6.5）；图像工具SSRF（CVSS 7.6）。这些漏洞可能暴露内部服务或云元数据端点，危害程度取决于具体部署环境。

• 访问控制缺陷
  包括Telnyx webhook处理器缺乏有效验证机制（CVSS 7.5），允许来自不可信源的伪造请求；Twilio功能存在认证绕过漏洞（CVSS 6.5），未授权用户可调用受保护接口。

• 路径遍历漏洞
  浏览器文件上传处理中存在路径净化不足问题（未分配CVSS评分），可能导致文件写入非预期目录。

AI驱动的漏洞挖掘方法

为突破传统静态分析工具在现代软件栈中的局限性（输入数据需经多重转换才到达危险操作），Endor Labs采用AI SAST方案保持跨转换过程的上下文关联。测试引擎完整映射了"不可信数据"从HTTP参数、配置值等入口点到网络请求/文件操作等安全敏感"汇聚点"的完整路径。

研究人员表示："AI分析与系统性人工验证的结合，为保护AI基础设施提供了可行方案。随着AI Agent框架在企业环境普及，安全分析必须同时应对传统漏洞和AI特有攻击面。"

Endor Labs已向OpenClaw维护团队负贵披露漏洞，相关修复措施已在受影响组件中实施。

参考来源：

Six flaws found hiding in OpenClaw’s plumbing

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）