OpenClaw 更新解锁 GPT-5 支持 Android 语音，爪链四漏洞已修补

开源个人 AI 智能体框架 OpenClaw 于 5 月 18 日发布 v2026.5.18 版本，主要更新包括 Android 客户端切换为基于网关中继的实时语音会话，以及全面解锁对多模型配置支持。与此同时，数据安全公司 Cyera 披露，研究人员在 OpenClaw 中发现四个可链式利用的安全漏洞（统称“爪链”）。

v2026.5.18 版本已确认的主要更新

Android 实时语音： 流式麦克风输入 + 实时音频回放 + 工具结果桥接（tool-result bridging）+ 螢幕实时字幕，移动端用户可通过语音唤醒并运行本地工具链

GPT-5 全面解锁： 解除对 GPT-5.1、GPT-5.2、GPT-5.3 和 openai-codex 的配置拦截；移除对 GPT-5 最终回复的强制缩减截断；启用严格智能体执行时自动写入日志

defineToolPlugin 极简插件接口： 配套 openclaw plugins build、validate 和 init 命令行工具，支持强类型声明并自动生成 manifest 和上下文工厂

Memory-core 增量启动同步： 启动时仅对缺失、变动或大小变更的文件执行增量索引，大幅缩短冷启动耗时

爪链漏洞：四个 CVE 的确认细节

影响范围： 2026 年 4 月 23 日（v2026.4.22）之前的所有 OpenClaw 版本，均已在 v2026.4.22 及后续版本中修补。

CVE-2026-44112（CVSS 9.6，最严重）： OpenShell 沙箱中的时间竞争（TOCTOU）漏洞，允许修改系统配置文件、植入后门并实现持久系统级控制

CVE-2026-44115（CVSS 8.8）： 逻辑缺陷，可存取 API 金钥、令牌、凭证和敏感数据

CVE-2026-44118（CVSS 7.8）： 不当会话验证导致的权限提升漏洞

CVE-2026-44113（CVSS 7.8）： 另一个 TOCTOU 漏洞，可非法存取配置文件和凭证

攻击链（Cyera 确认）： 攻击者可通过恶意插件或篡改提示符获得初始立足点 → 利用读取/命令执行漏洞收集凭证 → 通过权限提升漏洞获得管理控制 → 植入后门建立持久访问。Cyera 指出：“每一步在传统控制措施看来都像是代理的正常行为，显著增加了侦测难度。”

常见问题

爪链漏洞已修补，现有用户需要采取什么行动？

依据 Cyera 报告，四个漏洞均影响 v2026.4.22 之前的版本，维护者已完成修补。用户应确认已更新至 v2026.4.22 或更高版本（包括最新的 v2026.5.18）以消除上述漏洞风险。

OpenClaw 为何比一般软件更容易成为高风险攻击目标？

OpenClaw 需要高信任的系统访问，包括文件系统、终端环境、开发工具、消息平台、日历、API 及其他连接系统。Justin Fier 确认，由于代理被授予的访问权限本身就可信，任何相关流量看起来都可能是正常行为，攻击链中的每一步均难以被传统安全监控工具识别。

OpenClaw 以前还有哪些已记录的安全漏洞？

OpenClaw（原名 Clawdbot，后更名 MoltBot，2025 年 11 月发布）自上线以来已有多个已记录的漏洞，包括：CVE-2026-25253（令牌窃取）、CVE-2026-24763/25157/25475（命令和提示字元注入），以及 Oasis Security 上个月报告的一个允许攻击者通过恶意网站劫持 AI 代理的漏洞。