ช่องโหว่ยกระดับสิทธิ์ของ OpenClaw (CVE-2026-33579)

 (nvd.nist.gov)
3 คะแนน โดย GN⁺ 25 일 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • พบ ช่องโหว่ยกระดับสิทธิ์ที่ทำให้ผู้ใช้ที่ไม่ใช่ผู้ดูแลสามารถอนุมัติคำขอสิทธิ์ผู้ดูแลได้ ใน OpenClaw เวอร์ชันก่อน 2026.3.28
  • ในคำสั่ง /pair approve มีการ ไม่ส่งต่อ scope ทำให้การตรวจสอบการอนุมัติทำงานได้ไม่ถูกต้อง ส่งผลให้เกิดปัญหา การตรวจสอบสิทธิ์ไม่ถูกต้อง (CWE-863)
  • ช่องโหว่นี้ถูกประเมินว่าเป็น ความรุนแรงสูง (HIGH) ทั้ง CVSS v4.0 ที่ 8.6 คะแนน และ v3.1 ที่ 8.1 คะแนน
  • โค้ดที่มีช่องโหว่อยู่ใน extensions/device-pair/index.ts และ src/infra/device-pairing.ts และ ได้รับการแก้ไขแล้วในเวอร์ชัน 2026.3.28
  • ผู้ใช้และผู้ดูแลควร อัปเดตเป็นเวอร์ชันแพตช์ และอ้างอิง ประกาศความปลอดภัยของ GitHub (GHSA-hc5h-pmr3-3497)

ภาพรวมช่องโหว่

  • มี ช่องโหว่ยกระดับสิทธิ์ ใน OpenClaw เวอร์ชันก่อน 2026.3.28
    • ในเส้นทางคำสั่ง /pair approve มีการ ไม่ส่งต่อ scope ของผู้เรียกใช้ ทำให้การตรวจสอบการอนุมัติทำงานได้ไม่ถูกต้อง
    • ผู้ใช้ที่มีเพียงสิทธิ์การจับคู่ สามารถ อนุมัติคำขออุปกรณ์ที่รวมสิทธิ์เข้าถึงระดับผู้ดูแล ได้โดยไม่ต้องมีสิทธิ์ผู้ดูแล
    • ยืนยันตำแหน่งโค้ดที่มีช่องโหว่ได้ที่ extensions/device-pair/index.ts และ src/infra/device-pairing.ts

ผลกระทบและความรุนแรง

  • CVSS v4.0 8.6 คะแนน (HIGH)

    • เวกเตอร์: AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N

  • CVSS v3.1 8.1 คะแนน (HIGH)

    • เวกเตอร์: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
    • จัดประเภทเป็น CWE-863 (Incorrect Authorization)
    • เป็นปัญหาที่ทำให้ผู้ใช้ที่ไม่ใช่ผู้ดูแลสามารถดำเนินการระดับผู้ดูแลได้เนื่องจากการตรวจสอบสิทธิ์ไม่ถูกต้อง

ซอฟต์แวร์ที่ได้รับผลกระทบ

  • ในบรรดา OpenClaw เวอร์ชัน Node.js นั้น เวอร์ชันก่อน 2026.3.28 มีช่องโหว่
    • ตัวระบุ CPE: cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
    • ปัญหานี้ได้รับการแก้ไขแล้วในเวอร์ชันถัดไป

การแก้ไขและคำแนะนำ

ประวัติการเปลี่ยนแปลง

  • 2026-03-31: VulnCheck ลงทะเบียน CVE ใหม่และเพิ่มข้อมูล CVSS
  • 2026-04-01: NIST เพิ่มการวิเคราะห์เบื้องต้นและข้อมูลประกอบ CPE
  • การเปลี่ยนแปลงสำคัญ
    • แก้ไขเวกเตอร์ CVSS v3.1
    • เพิ่ม CWE-863
    • เพิ่มลิงก์แพตช์และประกาศของ GitHub

แหล่งที่มาและข้อมูลการจัดการ

  • CVE ID: CVE-2026-33579
  • หน่วยงานที่เผยแพร่: NIST National Vulnerability Database (NVD)
  • แหล่งที่มาที่ลงทะเบียน: VulnCheck
  • วันที่เผยแพร่ครั้งแรก: 31 มีนาคม 2026
  • วันที่แก้ไขล่าสุด: 1 เมษายน 2026

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 25 일 전
ความเห็นจาก Hacker News

  • ฉันเป็นผู้สร้าง OpenClaw
    ปัญหาครั้งนี้เป็น บั๊กยกระดับสิทธิ์ แต่ไม่ได้ร้ายแรงถึงขั้น “ยึดทุกอินสแตนซ์ได้ด้วยข้อความ Telegram/Discord ใด ๆ ก็ได้”
    สาเหตุมาจากการแก้ไขที่ไม่สมบูรณ์ โดยเส้นทางคำสั่งปลั๊กอิน /pair approve เรียกฟังก์ชันอนุมัติโดยไม่มี callerScopes ทำให้สามารถ ข้าม scope-ceiling ได้
    กล่าวคือ ไคลเอนต์ที่มีสิทธิ์เข้าถึงเกตเวย์อยู่แล้ว สามารถใช้คำสั่ง /pair approve latest เพื่ออนุมัติสิทธิ์ที่กว้างกว่าเดิมได้ (เช่น operator.admin)
    นี่ไม่ใช่ปัญหาเฉพาะของ Telegram หรือผู้ให้บริการข้อความ แต่เป็นช่องโหว่ในตรรกะส่วนกลางของตัวจัดการคำสั่งปลั๊กอิน
    ในกรณีของ Telegram นโยบาย DM เริ่มต้นจะบล็อกคนนอก ดังนั้นจึงไม่สามารถ “ได้สิทธิ์แอดมินด้วยข้อความเดียว” ได้
    หากใช้เป็นผู้ช่วยส่วนตัว ความเสี่ยงที่เกิดขึ้นจริงต่ำมาก และตอนนี้กำลังช่วยกันทำให้โค้ดเบสแข็งแกร่งขึ้นร่วมกับวิศวกรจาก Nvidia, ByteDance, Tencent และ OpenAI

    • อยากรู้ว่าสามารถอธิบายสถิติของ OP เพิ่มเติมได้ไหม
      อยากยืนยันว่าคำกล่าวที่ว่า “มีอินสแตนซ์ OpenClaw มากกว่า 135k ตัวที่เปิดสู่สาธารณะ และในนั้น 63% รันแบบไม่มีการยืนยันตัวตนจนใครก็ส่งคำขอจับคู่ได้” เป็นเรื่องจริงหรือไม่
      ถ้าเป็นจริง ภาพความเสี่ยงก็จะแตกต่างจากที่ผู้เขียนอธิบายโดยสิ้นเชิง
    • อยากรู้ว่าคำว่า “กำลังทำงานร่วมกับ Nvidia, ByteDance, Tencent, OpenAI” หมายถึงอะไรอย่างเจาะจง
      คือมีสัญญากับบริษัทเหล่านี้ หรือแค่มีพนักงานของบริษัทเหล่านั้นมาช่วยคอนทริบิวต์โอเพนซอร์ส
    • “Nvidia, ByteDance, Tencent, OpenAI? ว้าว!”
      รู้สึกทึ่งที่บริษัทใหญ่ขนาดนี้มาร่วมวงด้วย
    • มีคนตอบแบบติดตลกว่า “เรื่องโค้ดนี่ไม่ใช่ปัญหาที่แก้ไปแล้วเหรอ?”
      พร้อมเสริม มุกเสียดสี AI ว่า “ก็แค่ป้อนพรอมป์ต์ให้ Claude Code ว่า ‘ช่วยทำให้ปลอดภัยขึ้นหน่อย’ ไม่พอเหรอ”

  • มีการแชร์ลิงก์ days-since-openclaw-cve.com
    โดยบอกว่าหลัง OpenClaw เปิดตัว มีการรายงาน 1.8 CVE ต่อวันโดยเฉลี่ย

    • รู้สึกว่าตัวเลขนั้นเลวร้ายจริง ๆ
      แน่นอนว่าโปรเจกต์ที่ได้รับความสนใจอย่าง OpenClaw อาจถูกค้นพบช่องโหว่มากกว่าได้ แต่ “วันละ 1.8 รายการ” ก็ยังมากเกินสามัญสำนึกอยู่ดี
      ถึงขั้นทำให้ตั้งคำถามว่า ถ้าเป็นคนมีเหตุผลก็ควรหลีกเลี่ยงซอฟต์แวร์นี้หรือไม่

  • มีการแชร์ ลิงก์เก็บถาวร ของโพสต์ Reddit ต้นฉบับที่ถูกลบ

    • น่าจะถูกลบเพราะถูกมองว่าเป็น AI spam
      บอกว่าโพสต์อื่น ๆ ของผู้เขียนก็เป็นการโฆษณาโปรเจกต์ AI ทั้งหมด
    • มีคนบอกว่า “จะเพิ่มลิงก์นั้นไว้ในข้อความด้านบน”

  • ฉันไม่ได้ใช้ OpenClaw แต่รัน Claude Code และ Codex ภายใต้บัญชีผู้ใช้ macOS แบบจำกัดสิทธิ์
    ผ่านสคริปต์ become-agent [cmd ...] ที่ใช้ sudo เพื่อรันภายใต้บัญชีจำกัดสิทธิ์ ทำให้ไม่สามารถเข้าถึง environment variables หรือไดเรกทอรีของฉันได้
    วิธีนี้ซับซ้อนน้อยกว่า sandbox-exec แบบเต็ม แต่ก็ยังปลอดภัย
    ระบบยูนิกซ์นั้นเดิมทีก็แข็งแกร่งกับโครงสร้าง การแยกหลายผู้ใช้ แบบนี้อยู่แล้ว

    • ฉันคิดว่า sandboxing ระดับเคอร์เนลสำคัญ
      ใช้เครื่องมือชื่อ greywall เพื่อแยกไฟล์ซิสเต็มและเครือข่ายในระดับ syscall (อิงกับ Landlock + Seccomp + eBPF)
      แต่ก็ไม่เห็นด้วยกับคำกล่าวที่ว่า “ยูนิกซ์ไม่ได้ถูกออกแบบมาสำหรับการรันเอเจนต์แบบนี้”
    • ถ้าใช้เครื่องมือคอนเทนเนอร์โอเพนซอร์สของ Apple ก็สามารถเปิด Linux VM ภายใน 100ms ได้โดยไม่ต้องใช้สิทธิ์ root
      และด้วย Apple Virtualization Framework ก็สามารถรัน macOS VM ที่มี Apple ID แยกต่างหากได้เช่นกัน

  • ยังแปลกใจที่ทุกวันนี้คนยังใช้ OpenClaw อยู่
    นึกว่าทุกคนย้ายไป Nanoclaw หรือ Nemoclaw กันหมดแล้ว เลยสงสัยว่าเป็นเพราะ แรงเฉื่อย หรือเปล่า

    • ฉันใช้ Hermes อยู่
      ไม่ว่าจะเป็นเอเจนต์ไหนก็ควร รันอยู่ใน sandbox
      ลิงก์ GitHub ของ Hermes
    • NemoClaw เป็นแค่ security wrapper ของ OpenClaw ไม่ใช่ตัวทดแทน
    • มีคนพูดตรง ๆ ว่า “OpenClaw ไม่ค่อยดี แต่คนส่วนใหญ่ไม่รู้เรื่องนั้น”

  • คิดว่านี่เป็น ผลลัพธ์ที่คาดเดาได้
    การที่คนซึ่งมีความรู้ด้านความปลอดภัยไม่พอเปิดเผยอินสแตนซ์ออกสู่ภายนอกเป็นเรื่องไม่ฉลาด แต่ในอีกด้าน การที่ใคร ๆ ก็ทำการทดลอง IT ที่น่าสนใจได้ก็เป็นเรื่องยอดเยี่ยม
    สุดท้ายแล้วมันคือเรื่องของ สมดุลระหว่างอิสรภาพกับความเสี่ยง — เหมือนซ่อมรถเอง สนุกได้แต่ถ้าพลาดก็อาจเกิดอุบัติเหตุใหญ่
    ช่วงนี้ทั้งความปลอดภัย ความเป็นส่วนตัว และการเปลี่ยนแปลงสภาพภูมิอากาศต่างก็ถดถอย แต่สุดท้ายมนุษย์ก็ยังให้ความสำคัญกับความอยาก “สร้างของเจ๋ง ๆ” ก่อน

    • ปัญหาคือมีคนจำนวนมากที่ไม่ตระหนักถึงความเสี่ยงเหล่านี้เลยด้วยซ้ำ
    • เช่นเดียวกับ “ตัวอย่างเรื่องรถ” การตั้งค่าผิดก็อาจสร้างความเสียหายให้คนอื่นได้
      ผู้ใช้ที่ไม่มีความรู้ด้านความปลอดภัยอาจทำให้อินเทอร์เน็ตทั้งระบบเสี่ยงอันตราย
      สุดท้ายแล้ว สังคมทั้งหมดต้องจ่ายราคา ให้กับการทดลองที่ไร้ความรับผิดชอบ

  • รู้สึกว่าปฏิกิริยาในเธรด /r/sysadmin เหมือนกับบทสนทนาของ ผู้ดูแลระบบแบบคลาสสิก ที่ตัวเองเจอมาตลอดทุกประการ

  • ชื่อเรื่องดูเหมือน คลิกเบตที่พูดเกินจริง ไปหน่อย
    จริง ๆ แล้วจะเสี่ยงก็ต่อเมื่อ OpenClaw รันอยู่บนเซิร์ฟเวอร์ที่เปิดสาธารณะเท่านั้น
    ถ้ามีอินสแตนซ์สาธารณะ 135,000 จากทั้งหมด 500,000 ตัว ตามสัดส่วนแล้วก็ไม่ได้มากขนาดนั้น

    • มีคนบอกว่า “หนึ่งในห้านี่ เวลาพูดเรื่องความปลอดภัยต้องถือว่า ‘ค่อนข้างเยอะ’ แล้ว”
    • อีกคนเสริมว่า “ถ้าเกิน 25% ก็พอจะพูดได้ว่า ‘น่าจะใช่’ แล้ว”
    • มีคนมองว่าตัวเลข “135k อินสแตนซ์” ไม่น่าเชื่อถือ
    • อีกคนแสดงความสงสัยแบบขำ ๆ ว่า “สถิติ 35% นี่แต่งขึ้นมา”
    • ถึงอย่างนั้น ถ้า 65% รันโดยไม่มีการยืนยันตัวตนก็ยังอันตรายอยู่ดี
      ต่อให้ชื่อเรื่องเกินจริง ถ้ามันช่วย กระตุ้นให้คนตระหนักเรื่องความปลอดภัย ได้ก็ถือว่ามีความหมาย

  • มีคนบอกว่า “จะเสี่ยงก็ต่อเมื่ออินสแตนซ์ OpenClaw เปิดเผยบนอินเทอร์เน็ตเท่านั้น”

    • แต่มีคนชี้ว่าจนไม่นานมานี้ ค่าดีฟอลต์คือ bind กับ 0.0.0.0
      ถ้าเป็นผู้ใช้ที่เข้าใจผิดว่าราวเตอร์จะช่วยบล็อกให้ ก็ไม่ควรใช้ OpenClaw
      พร้อมแชร์ลิงก์ issue และ commit ที่เกี่ยวข้อง

  • มีคนยืนยันว่า “โดยปกติแล้วไม่ได้เป็นการตั้งค่าที่เปิดเผยสิทธิ์แอดมินออกสู่อินเทอร์เน็ต”