OpenClaw 是一款快速崛起的开源 AI 助手，旨在无缝连接消息服务、云平台与本地系统工具。然而，近日该工具修复了一个名为“日志投毒”（Log Poisoning）的安全漏洞。远程攻击者可利用此漏洞将恶意内容注入日志文件，而这些日志后续可能被 AI Agent 读取并纳入推理上下文，从而实现间接操纵。

该漏洞记录在 OpenClaw 官方安全公告中，影响 2026.2.13 之前的所有版本。虽然并非传统的远程代码执行（RCE），但其对 AI 驱动工作流的潜在影响不容小觑。

漏洞本质：间接提示注入攻击

该漏洞的核心并非直接执行代码，而是间接提示注入。不受信任的输入被写入日志后，AI Agent 在进行故障排除或决策时，可能将这些日志视为可信的系统上下文，从而被误导。

根据 Eye Security 的技术分析，受影响版本的 OpenClaw 在记录某些 WebSocket 请求头（如 Origin 和 User-Agent）时，未进行充分的清理和转义。攻击者若能访问网关接口，只需发送精心构造的请求头值，即可将恶意内容持久化嵌入日志行中，形成“投毒”效果。

实际影响与攻击面

影响程度高度依赖下游日志消费方式。典型场景是：运维人员要求 AI Agent 诊断错误时，Agent 会将近期日志纳入上下文。此时，注入的内容可能被误读为操作指令、可信系统消息或结构化记录，从而引导 Agent 的故障排除步骤、影响决策，甚至操纵事件总结。

攻击面正在扩大：在 Shodan 等搜索引擎上搜索 OpenClaw 默认端口（18789），即可发现数千个暴露在互联网上的实例。即使利用需依赖特定上下文，日志投毒仍具吸引力——它成本低、可重复，且针对的是 AI 层的解释机制，而非传统内存漏洞。

（上图分别为 Shodan 暴露端口示意和 WebSocket 连接原理，突出公开实例的攻击风险。）

（AI Agent 读取日志进行故障排除的工作流，正是日志投毒最容易发挥作用的场景。）

缓解措施与最佳实践

OpenClaw 已于 2026.2.13 版本 中修复该问题。所有运行旧版本的团队应立即升级至 2026.2.13 或更高版本，并优先检查网关暴露情况，避免服务直接面向公共互联网。

额外防御建议包括：

• 在记录日志前，对用户可控的头字段进行清理或转义
• 限制头字段长度，减少可注入的有效载荷空间
• 将“人工调试日志”与“Agent 推理输入”严格分离，让模型默认不读取原始受污染的遥测数据
• 监控异常头字段模式及 WebSocket 连接失败激增，作为投毒尝试的早期预警