OC0421 Top 攻击路径 — OpenClaw v2026.4.21

#1

AP-OC06 · native · third_party

多渠道广播横向传播

intent_triple: (user_message, 横向传播/受害者扩散, third_party)

12.57

RiskScore

注入分: 5.0

危害分: 3.57

Novelty: +4

accessibility: 1.000

∏d_Sink: 0.42

[PoisoningEntry] AttackerDMMessageBody（任意已配置渠道）
↓ allowFrom 未配置 + allowWhenEmpty=true
[Sink-0: SK-SYS-PROMPT] 消息注入 LLM 上下文（d=0.7）
↓ 20+ 渠道统一控制平面，message 工具支持任意渠道
[Sink-1: SK-NET] message 工具多渠道广播（d=0.6）
[Harm] SendToEvent → 受害者全部联系人/群组收到攻击者控制内容

关键证据: dist/system-prompt-BRx_74d7.js:buildMessagingSection

创新点: INN-02（20+渠道无隔离超级传播）

SK-NET AI-LATERAL-MOVE AF-CHANNEL TRG-RULE-TRIGGER Perm-ACT-SEND Sensitive-PII

#2

AP-OC05 · native · operator

Webhook Session Key 窃取

intent_triple: (external_service_response, Session Key 窃取, operator)

11.03

RiskScore

注入分: 5.0

危害分: 4.032

Novelty: +2

前提: allowRequestSessionKey=true

∏d_Sink: 0.72

[PoisoningEntry] MaliciousWebhookRequest（T-AUTO=1.5）
↓ hooks.allowRequestSessionKey=true; 速率限制仅内存
[Sink-0: SK-INFO] Webhook 触达 Agent，请求 session key（d=0.8）
[Sink-1: SK-NET] session key 通过 Webhook 响应返回（d=0.9）
[Harm] LeakToEvent → 会话凭证外渗 → 会话劫持

关键证据: dist/dangerous-config-flags-lTz7t-pV.js:hooks.allowRequestSessionKey

SK-INFO SK-NET Auth-TYPE-NONE TRG-EVENT-WEBHOOK Sensitive-CREDENTIAL

#3

AP-OC02 · native · user

HEARTBEAT.md 心跳 C2 持久化

intent_triple: (user_message, 心跳C2持久化, operator)

10.51

RiskScore

注入分: 5.0

危害分: 1.508

Novelty: +4

∏d_Sink: 0.1764

[PoisoningEntry] AttackerDMMessageBody
↓
[Sink-0: SK-SYS-PROMPT] 消息注入（d=0.7）
[Sink-1: SK-TOOL-WRITE] 写 HEARTBEAT.md 恶意指令（d=0.6）
↓ 每个心跳周期自动重读，无需用户在线
[Sink-2: SK-INFO] read 凭证文件（d=0.6）
[Sink-3: SK-NET] message 外发到攻击者渠道（d=0.7）
[Harm] LeakToEvent → 凭证外渗 + 持续 C2（harmreversed=False）

关键证据: dist/heartbeat-wake-B8UNwbeh.js; DYNAMIC_CONTEXT_FILE_BASENAMES={"heartbeat.md"}

创新点: INN-01（心跳 C2）

SK-PERSIST TRG-EVENT-HEARTBEAT SK-INFO SK-NET AF-MEMORY

#4

AP-OC01 · native · operator

SOUL.md 持久化覆写

intent_triple: (user_message, 系统提示词持久污染, operator)

9.84

RiskScore

注入分: 5.0

危害分: 2.835

Novelty: +2

∏d_Sink: 0.35

[PoisoningEntry] AttackerDMMessageBody
[Sink-0: SK-SYS-PROMPT] 消息注入 LLM 上下文（d=0.7）
[Sink-1: SK-TOOL-WRITE] write 工具覆写 SOUL.md（d=0.5）
[Harm] TamperEvent → SOUL.md 内容永久注入所有后续会话系统提示词

关键证据: dist/workspace-BfC_r2Tf.js:DEFAULT_SOUL_FILENAME; CONTEXT_FILE_ORDER soul.md=20

创新点: INN-03（工作区=可写系统提示词）

INJ-TECH-WORKSPACE-OVERWRITE SK-SYS-PROMPT SK-PERSIST AF-MEMORY

#5

AP-OC03 · native · user · 前提：无 Docker

无 Docker exec 无确认代码执行

intent_triple: (user_message, 任意命令执行, user)

8.80

RiskScore

注入分: 5.0

危害分: 2.8

Novelty: +1

前提: security="full", ask="off"

[PoisoningEntry] AttackerDMOrWebhookMessage
[Sink-0] 消息注入 LLM 上下文（d=0.7）
[Sink-1: SK-EXEC] exec（security=full, ask=off → 无确认执行）（d=0.4）
[Harm] LeakToEvent/DeleteEvent → 任意 OS 命令，宿主系统控制

关键证据: dist/exec-defaults-F2zQAtOd.js; dist/sandbox-B4e3wZhD.js

SK-EXEC Perm-ACT-EXEC Auth-TYPE-NONE TOOL-ACT

#6

AP-OC04 · extended-hostile · user · 前提：allowUnsafeExternalContent=true

Gmail 邮件内容注入

intent_triple: (email_content, 私人数据外渗, user)

7.57

RiskScore

注入分: 4.05

危害分: 2.52

Novelty: +1

accessibility: 0.9（C2×I1×P1）

[PoisoningEntry] MaliciousGmailEmailBody（allowUnsafeExternalContent=true）
[Sink-0] 邮件正文 → LLM 上下文（无内容净化）（d=0.7）
[Sink-1: SK-TOOL-COMM] 工具调用（读邮件+外发）（d=0.5）
[Harm] LeakToEvent → 用户邮件/联系人数据外渗

关键证据: dist/dangerous-config-flags-lTz7t-pV.js:hooks.gmail.allowUnsafeExternalContent

SK-NET SK-TOOL-COMM AF-CHANNEL Sensitive-PII

Top 6 攻击路径排名