IT之家3月16日音信,据中国信通院官方微信公众号音信,近期,中国信息通讯扣问院(简称“中国信通院”)与上海交通大学、南京大学构成的聚积扣问团队,对开源自主智能体框架OpenClaw进行了深度安全审计,通过静态分析与动态实战测试,发现并考据了一项危害严重的LLM驱动型号召注入(LLM-DrivenCommandInjection)谬误。
现在,扣问团队已负责开动负职守的谬误暴露经由,杏彩(XingCai)官网平台并将有关扣问恶果及拓荒提出同步上报至工业和信息化部收罗安全胁迫和谬误信息分享平台(NVDB)东说念主工智能居品安全谬误专科库(CAIVD,https://ai.nvdb.org.cn)。
江南体育(JNsports)官网app下载扣问发现,OpenClaw在处分当然谈话教唆并滚动为系统器具调用(ToolCall)的过程中,其bash-tools模块存在严重的逻辑弱势:系统未对LLM生成的号召行参数进行严实的转义处分,导致抨击者可通过引导性Prompt绕过内置的正则精明,在宿主机上已矣而已代码实行(RCE)及明锐数据外带。
扣问团队已完成多种主流模子环境下的抨击链路考据杏彩官网,并向GitHub社区报告了有关ISSUE并协助尽快拓荒此高危安全隐患。
