CVE-2026-41377OpenClaw在2026.3.31之前的版本中存在一个安全失效漏洞。该漏洞出现在插件安装流程中,当安全扫描环节失败时,系统未能正确阻止后续的安装操作。攻击者可利用此缺陷,诱导操作员在可见扫描警告的情况下强行继续安装流程,从而成功植入不受信任的恶意插件,破坏系统完整性并引发进一步的安全风险。
该漏洞源于OpenClaw插件安装机制中的异常处理逻辑缺陷。在理想的安全架构中,插件上传后应经过严格的安全扫描,只有扫描通过才允许安装。然而,在受影响版本中,当扫描服务不可用、超时或扫描过程因抛出异常而失败时,系统错误地进入了“失效开放”状态,即未执行拦截逻辑而是放行了安装请求。由于CVSS向量显示需要用户交互(UI:R),这意味着攻击者无法完全自动化攻击,必须诱导具有低权限(PR:L)的操作员进行确认或利用社会工程学手段。当操作员看到扫描警告但选择忽略,或者系统因逻辑错误未能有效呈现阻碍时,不受信任的插件代码将被加载到OpenClaw的运行时环境中。这将允许攻击者利用主进程的权限执行恶意操作,从而完全绕过系统的安全准入机制,对系统的保密性和完整性构成威胁。