中国信通院消息,近期,中国信息通信研究院(简称“中国信通院”)与上海交通大学、南京大学组成的联合研究团队,对开源自主智能体框架OpenClaw进行了深度安全审计,通过静态分析与动态实战测试,发现并验证了一项危害严重的LLM驱动型命令注入(LLM-Driven Command Injection)漏洞。目前,研究团队已正式启动负责任的漏洞披露流程,并将相关研究成果及修复建议同步上报至工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)人工智能产品安全漏洞专业库(CAIVD,https://ai.nvdb.org.cn)。研究发现,OpenClaw在处理自然语言指令并转化为系统工具调用(Tool Call)的过程中,其bash-tools模块存在严重的逻辑缺陷:系统未对LLM生成的命令行参数进行严密的转义处理,导致攻击者可通过诱导性Prompt绕过内置的正则防御,在宿主机上实现远程代码执行(RCE)及敏感数据外带。研究团队已完成多种主流模型环境下的攻击链路验证,并向GitHub社区报告了相关ISSUE并协助尽快修复此高危安全隐患。中国信通院将持续关注OpenClaw安全风险,助力产业界安全应用。
举报 第一财经广告合作,请点击这里此内容为第一财经原创,著作权归第一财经所有。未经第一财经书面授权,不得以任何方式加以使用,包括转载、摘编、复制或建立镜像。第一财经保留追究侵权者法律责任的权利。如需获得授权请联系第一财经版权部:banquan@yicai.com 相关阅读
金融场景慎养“龙虾”,互金协会警示四大核心风险OpenClaw默认的高系统权限与弱安全配置,极易被攻击者利用,成为窃取敏感数据或非法操控交易的突破口。
26 1小时前
盘前必读丨个人贷款息费披露迎强监管;京投发展拟剥离房地产开发业务机构认为,短期外围扰动影响风险偏好,中长期上涨氛围不变。
395 11小时前
科技周报|Meta计划大规模裁员,马斯克称一周内启动超级芯片工厂随着对人工智能领域的关注加深,互联网巨头公司都在削减人员,但与此同时也在加大对AI基础设施的投入。
140 昨天 12:04
AI周报 | 第一批养虾人开始卸载龙虾;马斯克的xAI现联创离职潮金融巨头斥资1亿美元培训水电熟练工;春招打响AI人才争夺战。
217 昨天 09:08
AI进化速递丨阿里云发布手机“一键养虾”产品JVS Claw绿联科技与MiniMax达成深度战略合作……
279 03-13 21:00 一财最热 点击关闭通盈策略提示:文章来自网络,不代表本站观点。
