ChainCatcher 消息,據市場消息,中國信通院與上海交通大學、南京大學聯合團隊在對開源自主智能體框架 OpenClaw 進行安全審計時,發現其 bash-tools 模塊存在 LLM 驅動型命令注入高危漏洞。該漏洞源於系統未對 LLM 生成的命令行參數進行嚴格轉義,攻擊者可透過誘導性 Prompt 繞過正則防禦,在宿主機上實現遠端代碼執行並竊取敏感資料。研究團隊已完成在多種主流模型環境下的攻擊驗證,啟動負責任漏洞披露流程,並向 NVDB 人工智慧產品安全漏洞專業庫(CAIVD)和 GitHub 社區提交修復建議。
中國信息通信研究院發現 OpenClaw 存在高風險命令注入漏洞
Chaincatcher分享
精華摘要
中國信息通信研究院、上海交通大學與南京大學組成的聯合團隊,發現了 OpenClaw 開源自主代理框架中一個高風險的命令注入漏洞。該漏洞位於 bash-tools 模組中,攻擊者可透過精心設計的提示詞執行遠端程式碼,繞過正則表達式防禦。團隊已在主要模型環境中確認了此攻擊,並向 NVDB AI 產品安全漏洞資料庫(CAIVD)及 GitHub 報告了此問題。此發現可能因系統暴露於未經授權的存取而影響 CFT 工作;若此類漏洞被利用於自動化交易系統,流動性與加密貨幣市場也可能面臨風險。
來源:顯示原文
免責聲明:本頁面資訊可能來自第三方,不一定反映KuCoin的觀點或意見。本內容僅供一般參考之用,不構成任何形式的陳述或保證,也不應被解釋為財務或投資建議。 KuCoin 對任何錯誤或遺漏,或因使用該資訊而導致的任何結果不承擔任何責任。
虛擬資產投資可能存在風險。請您根據自身的財務狀況仔細評估產品的風險以及您的風險承受能力。如需了解更多信息,請參閱我們的使用條款和風險披露 。