Hacker News 中文摘要

RSS订阅

OpenClaw权限提升漏洞 -- OpenClaw privilege-escalation bug

原文链接 | HN讨论 | 2026-04-04 08:43:41

文章摘要

该页面是美国国家标准与技术研究院(NIST)国家漏洞数据库(NVD)的官方页面,提示用户当前处于未授权的框架窗口中,存在潜在安全风险,并自动重定向至安全页面。页面强调.gov网站是美国政府官方网站,使用HTTPS加密保护敏感信息。

文章总结

国家漏洞数据库(NVD)漏洞详情:CVE-2026-33579

漏洞描述

OpenClaw软件在2026年3月28日之前的版本中,存在一个权限提升漏洞。该漏洞位于/pair approve命令路径中,由于未将调用者的权限范围(scopes)传递至核心审批检查流程,导致具有配对权限但无管理员权限的用户可通过extensions/device-pair/index.tssrc/infra/device-pairing.ts中缺失的范围验证,批准包含管理员权限等更高权限的待处理设备请求。

漏洞评分

  • CVSS 4.0评分(由VulnCheck提供):8.6(高危)
    向量:CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N
  • CVSS 3.1评分(由VulnCheck提供):8.1(高危)
    向量:CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
  • CVSS 2.0评分:NVD暂未评估

相关资源

漏洞分类

CWE-IDCWE-863(授权机制不当)

受影响版本

  • CPE标识cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*(所有早于2026.3.28的版本)

时间线

  • 2026年3月31日:VulnCheck提交漏洞详情。
  • 2026年4月1日:NIST完成初始分析并更新CPE配置。

注:本文内容源自美国国家标准与技术研究院(NIST)国家漏洞数据库(NVD),相关链接可能跳转至外部网站。

评论总结

以下是评论内容的总结,平衡不同观点并保留关键引用:

  1. 安全性担忧

    • 主要批评OpenClaw存在严重安全漏洞,默认授予管理员权限且未充分验证授权
    • 关键引用: > "OpenClaw has over 400+ security issues...Who is even making money out of OpenClaw other than the people attempting to host it?" (rvz) > "Think of all the people...running OpenClaw. They will be completely unaware and attackers can easily hide their tracks" (throwatdem12311)

  2. 风险范围争议

    • 部分用户认为风险被夸大,指出只有公开暴露的实例才会受影响
    • 关键引用: > "Only if your openclaw instance is publicly exposed...which is not the case for most people" (Simon321) > "Title is a bit misleading...'135k open instances' out of 500k running instances" (niwtsol)

  3. 开发者回应

    • 项目创始人承认存在权限提升漏洞,但澄清漏洞利用需要前置条件
    • 关键引用: > "This was a privilege-escalation bug, but not 'any random Telegram message can instantly own every instance'" (steipete) > "We're working hard to harden the codebase with folks from Nvidia, ByteDance..." (steipete)

  4. 架构批评

    • 批评代码质量差、过于庞大,难以维护和确保安全
    • 关键引用: > "500K+ lines of vibe coded bloat that's impossible to reason about" (machinecontrol) > "Too much focus on shipping features, not enough attention to stability" (machinecontrol)

  5. 使用场景讨论

    • 质疑实际用途,认为常见用例(如读取邮件)并不吸引人
    • 关键引用: > "What do people actually USE OpenClaw for? 'it reads your emails!' is the exact opposite of 'exciting'" (sunaookami)

  6. 安全哲学讨论

    • 关于安全防护理念的辩论,包括最小权限原则的必要性
    • 关键引用: > "I run my Claude Code as limited macOS user accounts...Multi-user Unix-y systems were designed for this" (petcat) > "Security through obscurity is dead...only formally verified systems can be trusted" (rossjudson)

注:所有评论均未显示具体评分(None),因此无法基于认可度进行权重分配。总结保持了原始讨论的技术焦点和争议点平衡。