CNNVD|人工智能重要漏洞通报(2026年第十期)

admin 2026-07-12 05:44:02 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: CNNVD近期采集208个AI漏洞,含32个超危、92个高危、84个中危。主要涉及FlowiseAI、OpenClaw、MicrosoftAzureAIBotService等厂商,漏洞类型包括输入验证错误、权限控制问题和授权问题。厂商已发布补丁,建议用户及时更新。 综合评分: 84 文章分类: 漏洞分析,威胁情报,AI安全,解决方案,数据安全


cover_image

CNNVD | 人工智能重要漏洞通报(2026年第十期)

CNNVD CNNVD

中国信息安全

2026年7月10日 14:00 北京

在小说阅读器读本章

去阅读

漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,近期(2026年6月16日至2026年7月6日)共采集重要人工智能漏洞208个,CNNVD对这些漏洞进行了收录。本周人工智能类漏洞主要涵盖了OpenClaw、FlowiseAI、vLLM等多个厂商(项目)。CNNVD对其危害等级进行了评价,其中超危漏洞32个,高危漏洞92个,中危漏洞84个。

人工智能漏洞增长数量情况

近期CNNVD采集人工智能漏洞208个。

图1 近五周漏洞新增数量统计图

人工智能漏洞具体情况

近期共采集重要人工智能漏洞208个,包括OpenClaw、FlowiseAI、vLLM等多个厂商(项目)的漏洞。其中超危漏洞32个,高危漏洞92个,中危漏洞84个。具体如表1所示:

表1 人工智能漏洞列表

重要人工智能漏洞实例

近期重要漏洞实例如表2所示。

表2 本期重要漏洞实例

  1. FlowiseAI Flowise 输入验证错误漏洞(CNNVD-2026-66011131)

FlowiseAI Flowise是FlowiseAI公司开源的一个用于轻松构建LLM应用程序的工具。

FlowiseAI Flowise 2.2.8版本及之前版本存在输入验证错误漏洞,该漏洞源于文件处理操作中缺少对chatflowId和chatId参数的验证,导致任意文件读写,攻击者利用该漏洞可以远程执行代码。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://github.com/FlowiseAI/Flowise/security/advisories/GHSA-q67q-549q-p849

  1. OpenClaw 权限许可和访问控制问题漏洞(CNNVD-2026-55449472)

OpenClaw是一个开源的智能人工助理软件。

OpenClaw 2026.5.2之前版本存在权限许可和访问控制问题漏洞,该漏洞源于搜索路径清理不当,攻击者利用该漏洞可以操控STATE_DIRECTORY变量,从而执行恶意代码。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://github.com/openclaw/openclaw/security/advisories/GHSA-wc84-j36w-pw4x

  1. Microsoft Azure AI Bot Service 授权问题漏洞(CNNVD-2026-35403559)

Microsoft Azure AI Bot Service是美国Microsoft公司的一套人工智能对话服务。

Microsoft Azure AI Bot Service存在授权问题漏洞,该漏洞源于身份验证不当,攻击者利用该漏洞可以提升权限。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-32174

(来源:CNNVD)


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:中国信息安全 CNNVD CNNVD《CNNVD | 人工智能重要漏洞通报(2026年第十期)》

关于作者 网络安全文章

关于作者

文章总结: 本文是网络安全工程师zero老z的个人介绍,他创建了cyberseclab安全实验室,旨在分享网络原理、安全原理和系统思维等长期有价值的知识,而非短
评论:0   参与:  0