OpenClaw 是一款快速崛起的开源 AI 助手，设计用于连接消息服务、云服务和本地系统工具。该工具近日修复了一个"日志投毒"漏洞，远程攻击者可利用该漏洞将恶意用户控制的内容注入日志，而这些日志后续可能被 AI Agent 读取。该问题记录在 OpenClaw 安全公告中，影响 2026.2.13 之前的所有版本。

漏洞本质与风险

该漏洞的核心风险并非传统的远程代码执行，而是一种间接的提示注入式攻击：不受信任的输入被写入日志文件，而 AI Agent 后续可能将这些日志视为可信的故障排除上下文。

根据 Eye Security 发布的公告，受影响版本的 OpenClaw 会记录某些 WebSocket 请求头（包括 Origin 和 User-Agent），但未进行充分清理。如果攻击者能够访问 OpenClaw 网关接口，就可以发送精心构造的请求头值，这些值会原封不动地嵌入日志行中，形成持久性的"投毒"日志记录。

实际影响与攻击面

实际影响取决于日志在下游的消费方式，特别是在操作人员要求 Agent 诊断错误，而 Agent 将近期日志纳入其推理上下文的工作流程中。在这种情况下，注入的内容可能被误解为操作员指令、可信系统消息或结构化记录，从而可能引导故障排除步骤、影响决策或操纵 Agent 对事件的总结方式。

通过在 Shodan 上搜索 OpenClaw 的默认端口（18789），可以发现互联网上暴露了数千个实例，这表明攻击面正在不断扩大。即使利用该漏洞需要"依赖上下文"，日志投毒仍然具有吸引力，因为它可以低成本地反复实施，且针对的是 AI 层的解释机制，而非单一的内存损坏漏洞。

缓解措施

OpenClaw 已在 2026.2.13 版本中修复该问题。公告明确指出 2026.2.13 之前的版本均受影响。运行 OpenClaw 的团队应优先升级至 2026.2.13（或更高版本），然后检查网关暴露情况，确保服务在缺乏严格访问控制的情况下无法从公共互联网访问。

防御者还应将 Agent 可读取的日志视为不受信任的输入通道，并应用标准加固措施：

• 在记录前清理或编辑用户控制的头字段
• 限制头字段大小以减少有效载荷空间
• 将"人工调试日志"与"Agent 推理输入"分离，使模型默认情况下不会读取原始的、受攻击者影响的遥测数据

在可能的情况下，应实施对异常头字段模式和 WebSocket 连接失败激增的监控，因为这些可能是投毒尝试的早期指标。

参考来源：

Critical “Log Poisoning” Vulnerability in OpenClaw AI Agent Allows Malicious Content Injection

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）