文章总结： 本期CNNVD通报显示2026年3月31日至4月15日共收录320个重要人工智能漏洞，涉及OpenClaw、Ollama、MLflow等项目，包含35个超危漏洞和107个高危漏洞。通报列举了OpenClaw命令注入、MLflow参数注入等典型案例，并提供了官方补丁链接，建议用户及时更新以防范权限提升风险。 综合评分： 82 文章分类： 漏洞预警,漏洞分析,AI安全,解决方案,安全运营

人工智能重要漏洞通报（2026年第五期）

原创

CNNVD CNNVD

CNNVD安全动态

2026年4月17日 17:02 北京

在小说阅读器读本章

去阅读

点击蓝字 关注我们

漏洞情况

根据国家信息安全漏洞库（CNNVD）统计，近期（2026年3月31日至2026年4月15日）共采集重要人工智能漏洞320个，CNNVD对这些漏洞进行了收录。本周人工智能类漏洞主要涵盖了OpenClaw、Ollama、MLflow等多个厂商（项目）。CNNVD对其危害等级进行了评价，其中超危漏洞35个，高危漏洞107个，中危漏洞178个。

鉴于近期人工智能领域漏洞呈爆发式增长态势，相关系统安全风险急剧攀升，请相关单位及个人尽快开展漏洞消控工作。

一 人工智能漏洞增长数量情况

近期CNNVD采集人工智能漏洞320个。

图1 近五周漏洞新增数量统计图

二 人工智能漏洞具体情况

近期共采集人工智能漏洞320个，包括OpenClaw、Ollama、MLflow等多个厂商（项目）的漏洞。其中超危漏洞35个，高危漏洞107个，中危漏洞178个。具体如表1所示：

表1 人工智能漏洞列表

三 重要人工智能漏洞实例

近期重要漏洞实例如表2所示。

表2 本期重要漏洞实例

1. OpenClaw 操作系统命令注入漏洞（CNNVD-202603-6234）

OpenClaw是一个开源的智能人工助理。

OpenClaw 2026.3.13之前版本存在操作系统命令注入漏洞，该漏洞源于未清理路径包含的shell元字符，攻击者利用该漏洞可以远程注入命令。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://github.com/openclaw/openclaw/releases

2. MLflow 操作系统命令注入漏洞（CNNVD-202603-6212）

MLflow是一个开源简化机器学习的开发平台。

MLflow存在操作系统命令注入漏洞，该漏洞源于model_uri参数未经适当清理可直接嵌入shell命令，攻击者利用该漏洞可以注入命令和提升权限。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://github.com/mlflow/mlflow/releases

3. LoLLMs 安全漏洞（CNNVD-202604-1398）

LoLLMs是一个大型语言与多模态系统。

LoLLMs 2.1.0版本存在安全漏洞，该漏洞源于使用弱密钥签署JSON Web Tokens导致访问控制不当，攻击者利用该漏洞可以离线暴力破解以恢复密钥，进而伪造管理令牌并提升权限。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://lollms.com/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：CNNVD安全动态 CNNVD CNNVD《人工智能重要漏洞通报（2026年第五期）》