중국신통원과 대학이 협력하여 OpenClaw의 고위험 명령 주입 취약점을 발견하고 수정했습니다

시장 소식에 따르면, 중국 신통원과 상하이 교통대학교, 난징 대학교의 공동 팀이 오픈소스 자율 지능체 프레임워크 OpenClaw에 대한 보안 감사를 진행하는 과정에서 bash-tools 모듈에 LLM 기반 명령 주입 고위험 취약점이 존재함을 발견했습니다. 이 취약점은 시스템이 LLM이 생성한 명령행 매개변수를 엄격하게 이스케이프하지 않아서 발생하며, 공격자는 유도된 프롬프트를 통해 정규 표현식 방어를 우회하고 호스트 머신에서 원격 코드 실행을 수행하여 민감한 데이터를 탈취할 수 있습니다.

연구 팀은 다양한 주요 모델 환경에서 공격 검증을 완료했으며, 책임 있는 취약점 공개 프로세스를 시작하고 NVDB 인공지능 제품 보안 취약점 전문 데이터베이스(CAIVD) 및 GitHub 커뮤니티에 수정 제안을 제출했습니다.