文章总结： OpenClawAI助手修复了影响2026.2.13前版本的日志投毒漏洞。攻击者利用未清理的WebSocket请求头写入恶意日志，通过AIAgent读取上下文实施间接提示注入，操纵AI推理。鉴于大量实例暴露，建议立即升级版本，限制网关访问，清理用户可控头字段，并将调试日志与AI推理输入分离以规避风险。 综合评分： 82 文章分类： 漏洞预警,漏洞分析,AI安全,安全建设

OpenClaw日志投毒漏洞可致恶意内容注入

FreeBuf

2026年2月18日 18:02 福建

OpenClaw 作为一款快速崛起的开源 AI 助手，用于连接消息服务、云服务和本地系统工具。OpenClaw 近日修复了一个”日志投毒”漏洞，远程攻击者可利用该漏洞将恶意用户控制的内容注入日志，而这些日志后续可能被 AI Agent 读取。该问题记录在 OpenClaw 安全公告中，影响 2026.2.13 之前的所有版本。

Part01

漏洞本质与风险

该漏洞的核心风险并非传统的远程代码执行，而是一种间接的提示注入式攻击：不受信任的输入被写入日志文件，而 AI Agent 后续可能将这些日志视为可信的故障排除上下文。

根据 Eye Security 发布的公告，受影响版本的 OpenClaw 会记录某些 WebSocket 请求头（包括Origin和User-Agent），但未进行充分清理。如果攻击者能够访问 OpenClaw 网关接口，就可以发送精心构造的请求头值，这些值会原封不动地嵌入日志行中，形成持久性的”投毒”日志记录。

Part02

实际影响与攻击面

实际影响取决于日志在下游的消费方式，特别是在操作人员要求 Agent 诊断错误，而 Agent 将近期日志纳入其推理上下文的工作流程中。在这种情况下，注入的内容可能被误解为操作员指令、可信系统消息或结构化记录，从而可能引导故障排除步骤、影响决策或操纵 Agent 对事件的总结方式。

通过在 Shodan 上搜索 OpenClaw 的默认端口（18789），可以发现互联网上暴露了数千个实例，这表明攻击面正在不断扩大。即使利用该漏洞需要”依赖上下文”，日志投毒仍然具有吸引力，因为它可以低成本地反复实施，且针对的是 AI 层的解释机制，而非单一的内存损坏漏洞。

Part03

缓解措施

OpenClaw 已在 2026.2.13 版本中修复该问题。公告明确指出 2026.2.13 之前的版本均受影响。运行 OpenClaw 的团队应优先升级至 2026.2.13（或更高版本），然后检查网关暴露情况，确保服务在缺乏严格访问控制的情况下无法从公共互联网访问。

防御者还应将 Agent 可读取的日志视为不受信任的输入通道，并应用标准加固措施：

• 在记录前清理或编辑用户控制的头字段
• 限制头字段大小以减少有效载荷空间
• 将”人工调试日志”与”Agent 推理输入”分离，使模型默认情况下不会读取原始的、受攻击者影响的遥测数据

在可能的情况下，应实施对异常头字段模式和 WebSocket 连接失败激增的监控，因为这些可能是投毒尝试的早期指标。

参考来源：

Critical “Log Poisoning” Vulnerability in OpenClaw AI Agent Allows Malicious Content Injection

OpenClaw AI “Log Poisoning” Vulnerability Allows Malicious Content Injection

#

#

#

推荐阅读

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《OpenClaw日志投毒漏洞可致恶意内容注入》