近期,中国信息通信研究院与上海交通大学、南京大学组成联合研究团队,对开源自主智能体框架OpenClaw开展深度安全审计。
通过静态分析与动态实战测试,团队发现并验证一项危害程度较高的命令注入漏洞,风险点集中在自然语言指令被转换为系统工具调用的关键环节。
团队已按负责任披露要求推进处置,并将研究成果及修复建议同步报送至工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)人工智能产品安全漏洞专业库(CAIVD)。
一、问题:自然语言到系统命令的链路存在可被利用的“注入点” 审计结果显示,OpenClaw在将文本指令转化为工具调用时,相关模块在处理命令行参数环节存在逻辑缺陷,未对生成的参数进行充分、严格的转义与边界约束。
攻击者可构造具有诱导性的输入内容,绕过框架内置的正则校验等防护策略,使系统在宿主机环境执行非预期命令,进而形成远程代码执行风险,并可能伴随敏感数据外带等安全后果。
研究团队在多种主流模型环境下完成攻击链路验证,确认该问题具备现实可利用性。
二、原因:工程防护与模型输出不确定性叠加,放大工具调用风险 业内人士指出,智能体框架通常承担“理解指令—规划任务—调用工具—执行返回”的桥梁角色,既连接上层交互,也直达底层系统资源,天然属于高权限、高风险组件。
若工具调用层面仍沿用对文本输入的“黑名单式”“正则式”拦截思路,而未建立基于白名单、参数化、最小权限与执行隔离的工程化安全基座,一旦遭遇对抗性输入,就可能出现绕过。
此外,模型输出具有不确定性与可被诱导性,当系统将其直接拼接为命令或脚本参数时,等同于把安全边界让渡给不可控文本,从而形成结构性风险。
三、影响:漏洞不只关乎单一项目,更折射智能体应用的共性挑战 随着开源智能体框架在研发、运维、数据处理等场景加速落地,“用自然语言驱动工具链”的模式显著提升效率,但也将传统软件的注入风险扩展到“模型输出—工具执行”的新链路。
一旦漏洞被利用,可能造成主机被控、业务中断、数据泄漏等后果;在企业内部集成场景中,若智能体被授予访问代码仓库、云资源或运维权限,潜在影响将进一步放大。
此次发现提示业界:智能体安全不应仅停留在“提示词防护”,更要强化对工具调用、权限边界与执行环境的系统治理。
四、对策:推进负责任披露与快速修复,强化工程化安全措施 据悉,联合研究团队已启动负责任漏洞披露流程,将漏洞细节与修复建议同步至CAIVD,并向开源社区提交问题反馈,协助推动修复。
针对同类风险,业内建议从源头加强工具调用安全:一是避免将生成内容直接拼接为命令,优先采用参数化调用与严格的输入转义;二是建立“允许列表”机制,限定可调用工具与可用参数范围,减少自由拼接空间;三是落实最小权限原则,为工具运行配置受限账号、文件与网络访问策略;四是引入沙箱与隔离执行,配合审计日志与告警,提升事前防护与事中处置能力;五是对关键链路开展持续安全测试与红队验证,形成可复用的评测基线。
五、前景:以漏洞治理推动标准化建设,护航新技术安全应用 受访人士认为,开源生态的快速迭代需要更加成熟的安全协同机制。
一方面,安全审计、漏洞共享与修复验证应形成闭环,通过权威平台实现信息汇聚与风险通报;另一方面,面向智能体的安全规范、工具调用接口约束、评测方法与合规指引有望加速完善,为产业落地提供可执行、可验证的工程标准。
随着相关工作持续推进,智能体应用的可控性与可信度将进一步提升,为数字化转型释放更大价值空间。
此次安全事件的成功处置,既是对我国网络安全防护能力的实战检验,也为全球开源社区贡献了中国方案。
在数字化转型加速推进的当下,唯有坚持发展与安全并重,持续完善技术防护体系,才能为人工智能等新兴技术的健康发展筑牢安全基石。
这起案例再次证明,主动安全防御比被动补救更具战略价值。