紧急漏洞通告

近日，安全运营团队发现最新漏洞威胁：OpenClaw WebSocket共享令牌权限提升漏洞

【检测结果】

1、通过MSSP大数据平台分析近一个月服务资产访问行为数据及资产指纹信息匹配，尚未发现受此组件版本影响的服务资产。

2、为确保无遗漏，建议业务运维进行二次核实，检查业务资产是否有使用相关组件的情况，如有可参考详细修复建议操作避免漏洞被恶意利用。

【漏洞详情】

OpenClaw 在使用共享令牌或密码进行 WebSocket 连接认证时，服务端未对客户端自行提交的权限作用域做校验与限制，直接信任并采纳客户端声明的高权限，导致持有普通共享令牌或密码的用户可非法声明管理员权限，实现权限提升。

目前受影响的OpenClaw版本：

OpenClaw ≤ 2026.3.11

官方已发布最新版本修复该漏洞，建议受影响用户将OpenClaw更新到2026.3.12及以上版本。

下载链接：https://github.com/openclaw/openclaw