一、背景介绍
近日监测官方修复OpenClaw WebSocket共享令牌权限提升漏洞(QVD-2026-13829)，漏洞PoC和技术细节已公开。鉴于该漏洞影响较大，建议尽快做好自查及防护。
1.1漏洞描述
OpenClaw是一款开源的AI智能体平台，能够在本地环境中自主运行，通过自然语言指令直接操作用户计算机完成各类任务。
该漏洞存在于OpenClaw网关的WebSocket连接处理逻辑中。当使用无设备共享令牌或密码认证的后端连接时，系统未能正确验证和限制客户端自行声明的权限范围，攻击者可利用该漏洞，通过获取或构造无设备共享令牌，在WebSocket连接建立时自行声明高权限作用域，从而完全控制目标机器。
1.2漏洞编号
QVD-2026-13829
1.3漏洞等级
高危
二、修复建议
2.1受影响的版本
OpenClaw <= 2026.3.11
2.2修复建议
官方已发布安全补丁，请及时更新至最新版本:
OpenClaw >= 2026.3.12
下载地址：
https://github.com/openclaw/openclaw