CVE-2026-41369OpenClaw 在 2026.3.31 之前的版本中存在严重的安全缺陷,主要涉及主机执行操作期间环境变量清理不充分。该漏洞允许攻击者利用低权限账户,通过传递未经过滤的环境变量来覆盖关键的系统配置。由于系统未能有效过滤包管理、注册表、Docker、编译器以及 TLS 覆盖等敏感变量,攻击者可以注入恶意配置。这种操作不仅破坏了主机执行的完整性,还可能导致敏感信息泄露,尤其是在涉及 CI/CD 流水线或自动化构建的环境中,攻击者可借此劫持构建过程或窃取凭证。
该漏洞源于 OpenClaw 在处理主机执行请求时,未能对传入的环境变量实施严格的白名单验证机制。具体来说,应用程序允许用户在执行特定操作时自定义环境上下文,但未对具有“覆盖”性质的环境变量进行拦截。这些变量包括但不限于 `npm_config_registry`、`PIP_INDEX_URL`、`DOCKER_HOST` 以及各类编译器标志。
攻击者利用此漏洞的方式相对直接且隐蔽。首先,攻击者需要具备低权限的用户访问权限(PR:L)。随后,在触发主机执行操作(如代码构建、依赖安装或容器编排)时,攻击者注入恶意的环境变量。例如,通过设置 `HTTP_PROXY` 或 `HTTPS_PROXY`,攻击者可以将系统的网络流量重定向至恶意代理服务器,从而拦截包含认证令牌的敏感数据。或者,通过修改包管理器的源地址,攻击者可以诱导系统下载并执行被篡改的恶意依赖包,从而在主机上实现远程代码执行或数据窃取。由于 CVSS 评分显示机密性影响为高(C:H),此漏洞的主要风险在于信息泄露和供应链投毒。