OpenAkita 本地权限提升漏洞CVE-2026-3964

OpenAkita 是一款开源、自进化的 AI 智能体框架，自主学习、修复问题、长期记忆并执行系统命令，主打 “永不放弃” 的任务执行能力。

一、基本情况

OpenAkita 提供一款可代表用户执行 Shell 命令 AI 智能体，采用全能自进化 AI Agent，基于 “Ralph Wiggum 模式”（永不放弃）设计。

OpenAkita 是一个开源的 AI 代理框架或聊天工具接口，允许模型调用工具执行任务，它是一款可代表用户执行 Shell 命令的 AI 智能体。

栋科技漏洞库关注到 OpenAkita 1.24.3之前版本中的本地权限提升漏洞，该漏洞现在已被追踪为CVE-2026-3964，CVSS 4.0评分4.8。

二、漏洞分析

CVE-2026-3964 是位于 OpenAkita 受影响版本中的安全漏洞，本地攻击者可利用该功能，以 OpenAkita 进程身份执行任意系统命令。

漏洞存在于 src/openakita/tools/shell.py 文件的 run 函数中，该函数在处理 Message 参数时，未对用户输入进行充分的过滤或转义。

因此，该函数直接将其拼接并传递给底层系统的 shell 执行，本地攻击者可以通过操控 Message 参数，注入并执行任意 OS 系统命令。

若应用程序以高权限运行或攻击者能够干预 AI 的决策逻辑，即可实现权限提升，从而利用漏洞实现本地提权或控制运行该组件的系统。

漏洞文件：

src/openakita/tools/shell.py（第 179-286 行）

src/openakita/tools/handlers/filesystem.py（第 153-256 行）

存在漏洞的代码段

# src/openakita/tools/shell.py:231-237
async def run(
    self,
    command: str,
    cwd: str | None = None,
    timeout: int | None = None,
    env: dict | None = None,
) -> CommandResult:
    # ...
    process = await asyncio.create_subprocess_shell(
        command,  # User-provided command executed directly
        stdout=asyncio.subprocess.PIPE,
        stderr=asyncio.subprocess.PIPE,
        cwd=work_dir,
        env=cmd_env,
    )

三、POC概念验证

1、场景：通过聊天接口执行命令

（1）以管理员权限启动应用程序

（2）切换到普通用户 user1，发送漏洞验证代码

管理员已设置登录后刷新可查看

管理员已设置登录后刷新可查看

四、影响范围

OpenAkita <= 1.24.3

五、修复建议

OpenAkita > 1.24.3

六、参考链接

管理员已设置登录后刷新可查看