CVE-2026-81128421bit MiniClaw 在版本 223c16a1088e138838dcbd18cd65a37c35ac5a84 及之前的版本中存在操作系统命令注入漏洞。该漏洞位于 src/kernel.ts 文件的 executeCognitivePulse 函数中。由于对用户输入缺乏严格的过滤,攻击者可以通过构造恶意数据发起远程攻击,成功利用该漏洞可在底层操作系统上执行任意命令,导致系统面临机密性泄露、完整性破坏和可用性降低的风险。目前该漏洞利用代码已被公开,建议用户尽快部署补丁进行修复。
该漏洞源于 8421bit MiniClaw 项目中 src/kernel.ts 文件内的 executeCognitivePulse 函数存在输入验证缺陷。该函数负责处理特定的认知脉冲请求,但在处理过程中直接将用户可控的输入数据拼接到了操作系统的系统调用命令中。由于程序未对特殊字符(如 `;`, `|`, `&`, `$()` 等)进行有效的转义或过滤,攻击者可以注入恶意的 Shell 命令。当服务器端解析并执行该系统命令时,注入的恶意代码也会随之执行。考虑到该产品采用滚动发布模式,受影响的版本范围涵盖了提交哈希 223c16a1088e138838dcbd18cd65a37c35ac5a84 之前的所有版本。攻击者无需用户交互,仅需网络访问权限和低权限账号即可发起攻击。