OpenClow Vulnerability Checker
Overview
帮助用户检测 OpenClaw 当前的已知安全漏洞,对比当前版本与最新版本的差异,获取漏洞详情、风险评估、版本更新内容和修复建议,确保 OpenClaw 运行在安全状态并了解最新功能。
Workflow
Step 1: 获取当前版本
运行 openclaw --version 获取当前安装的 OpenClow 版本号和 commit hash。
示例:
OpenClaw 2026.3.8 (3caab92)
提取版本号格式为 YYYY.M.D(如 2026.3.8),以及可能存在的 commit hash。
Step 2: 查询漏洞列表
从多个数据源查询 OpenClaw 的安全漏洞信息:
优先级顺序:
-
GitHub Security Advisories(如果用户提供了 GitHub token)
- 使用 GitHub API 查询:
https://api.github.com/repos/openclaw/openclaw/security/advisories - 优点:官方、结构化、包含修复版本信息
- 需要:GitHub Personal Access Token(有 repo 权限)
- 使用 GitHub API 查询:
-
CNNVD(中国国家信息安全漏洞库)
- 通过 web_fetch 搜索相关页面
- 关注 "OpenClaw"、"openclaw" 相关漏洞条目
- 示例:微信公众号文章如提供的链接
-
NVD(National Vulnerability Database)
- CVE 数据库查询
- URL:
https://nvd.nist.gov/vuln/search/results?form_basic_search=&results_type=overview&search_type=all&query=OpenClaw
-
本地漏洞数据库 -
references/vulnerabilities.md- 手动维护的已知漏洞列表
- 格式:版本范围、CVE ID、CVSS 评分、简介、修复版本、缓解措施
Step 3: 匹配漏洞
对比当前版本与漏洞信息:
漏洞筛选规则:
- 检查漏洞影响的版本范围
- 确认当前版本是否在影响范围内
- 验证是否有修复版本已经修复该漏洞
- 如果修复版本存在但当前版本低于修复版本 → 漏洞未修复
版本比较逻辑:
- OpenClaw 使用语义化版本
YYYY.M.D或vX.Y.Z - 支持范围比较:
< 2026.3.10表示所有小于2026.3.10的版本都受影响 - 支持特定版本:
= 2026.3.8表示仅该版本受影响
Step 4: 评估风险
对每个未修复漏洞进行风险评估:
风险等级判定:
- 高危(Critical): CVSS 9.0-10.0 或远程代码执行(RCE)
- 高(High): CVSS 7.0-8.9 或权限提升、敏感信息泄露
- 中(Medium): CVSS 4.0-6.9 或拒绝服务、XSS
- 低(Low): CVSS 0.1-3.9 或信息泄露等低影响
Step 5: 生成报告
输出结构化的安全报告,包含:
# OpenClaw 安全漏洞报告
## 当前版本信息
- 版本: 2026.3.8 (commit: 3caab92)
- 检查时间: 2026-03-11 15:45:00
## 风险概览
- 🔴 高危漏洞: 1
- 🟠 高危漏洞: 0
- 🟡 中危漏洞: 2
- 🟢 低危漏洞: 0
## 详细漏洞信息
### 🔴 [CVE-2025-XXXXX] 漏洞标题
**CVSS 评分:** 9.8 (高危)
**影响版本:** < 2026.3.10
**修复版本:** 2026.3.10 或更新
**漏洞简介:**
简述漏洞原理和影响...
**潜在风险:**
详细说明攻击场景和影响...
**修复建议:**
✅ 升级到 OpenClaw 2026.3.10 或更新版本
📥 升级命令: `openclaw update run`
---
## 升级建议
### 立即升级
发现 [X] 个高危/高等级漏洞,建议立即升级到最新版本 [最新版本号]。
数据源参考
GitHub Security Advisories
获取方式:
# 使用 curl + GitHub Token
curl -H "Authorization: token YOUR_GITHUB_TOKEN" \
https://api.github.com/repos/openclaw/openclaw/security/advisories
响应格式示例:
{
"ghsa_id": "GHSA-xxxxx",
"summary": "漏洞标题",
"severity": "high",
"cvss": {
"score": 9.8,
"vector_string": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H"
},
"affected": [
{
"package": {
"ecosystem": "npm",
"name": "openclaw"
},
"ranges": [
{
"type": "SEMVER",
"events": [
{"introduced": "0"},
{"fixed": "2026.3.10"}
]
}
]
}
],
"published_at": "2025-12-15T10:00:00Z",
"updated_at": "2025-12-15T10:00:00Z",
"references": [
{"url": "https://github.com/openclaw/openclaw/pull/XXX"}
]
}
CNNVD(国家信息安全漏洞库)
通过 web_fetch 获取页面内容,解析 XML/JSON 返回。
CVE 数据库
NVD API v2.0 文档:https://nvd.nist.gov/developers/request-an-api-key
脚本使用
获取版本信息
# 获取版本号
openclaw --version
检查升级
# 检查是否有更新可用
openclaw update run
版本对比功能
使用内置脚本获取版本更新对比:
# 查看当前版本与最新版本的对比(Markdown 格式)
python scripts/get_releases.py --current-version 2026.3.8 --format markdown
# 查看 JSON 格式的完整 releases 信息
python scripts/get_releases.py --current-version 2026.3.8 --format json
# 无需指定版本,输出所有可用版本列表
python scripts/get_releases.py --format markdown
版本对比工作流程:
- 从 GitHub API 获取最新的 OpenClaw releases 列表(无需认证,公开 API)
- 提取每个版本的 release note,解析 Changes、Fixes、Breaking Changes
- 对比当前版本与最新版本,识别:
- 是否有新版本可用
- 新版本包含的功能更新
- 新版本修复的 bug
- Breaking Changes(需特别注意)
- 生成人类可读的报告
报告格式示例:
# 版本对比报告
**当前版本**: 2026.3.2
**检查时间**: 2026-03-11 16:00:00
## 🎯 发现新版本
**最新版本**: 2026.3.8
**发布日期**: 2026-03-09
### ✨ 新功能 (8 项)
- CLI/backup: 添加备份创建和验证功能...
- Talk mode: 添加可配置的静音超时...
- TUI: 自动推断当前工作区的活跃 agent...
### 🐛 Bug 修复 (25+ 项)
- macOS app/chat UI: 修复路由问题...
- Telegram/DM routing: 修复重复消息...
- Android/Play distribution: 移除权限...
### ⚠️ Breaking Changes (1 项)
- Gateway auth: 需要显式配置 gateway.auth.mode...
## 📊 建议升级
✅ 推荐升级到 2026.3.8
升级命令:
```bash
openclaw update run
## 注意事项
1. **GitHub API 限制**:无认证情况下每分钟 60 次请求,有 token 每小时 5000 次
2. **数据来源优先级**:GitHub > CNNVD > NVD > 本地数据库
3. **版本比较**:OpenClaw 使用年月日版本格式,注意与 semver 的兼容性
4. **建议谨慎报告**:确认漏洞信息准确后再通知用户,避免误报