• 漏洞编号：CVE-2026-28472
• 漏洞等级：高危
• 漏洞标签：暂无
• 发布时间：2026-03-06

漏洞描述

OpenClaw 是一个开源的个人AI 助手平台，支持通过多种消息渠道与AI 交互。 在其 2026.2.1 版本之前，存在一个逻辑漏洞：若请求中存在 \`auth.token\` 参数，则跳过设备标识（Device Identity）检查。然而，系统在跳过检查前并未对该令牌的有效性进行验证。攻击者可以通过在 WebSocket 握手请求中包含任意未经验证的 \`auth.token\` 来绕过身份验证和设备配对流程，从而与Agent环境直接交互，可能导致服务器失陷。

修复建议

1. 升级至最新版本。 2. 利用安全组设置其仅对可信地址开放。

参考链接

https://github.com/openclaw/openclaw/commit/fe81b1d7125a014b8280da461f34efbf5f761575

https://github.com/openclaw/openclaw/security/advisories/GHSA-rv39-79c4-7459

https://www.vulncheck.com/advisories/openclaw-device-identity-check-bypass-in-gateway-websocket-connect-handshake

https://avd.aliyun.com/detail?id=AVD-2026-28472