OpenClaw是一款快速崛起的开源 AI 助手旨在无缝连接消息服务、云平台与本地系统工具。然而近日该工具修复了一个名为“日志投毒”Log Poisoning的安全漏洞。远程攻击者可利用此漏洞将恶意内容注入日志文件而这些日志后续可能被 AI Agent 读取并纳入推理上下文从而实现间接操纵。该漏洞记录在 OpenClaw 官方安全公告中影响2026.2.13 之前的所有版本。虽然并非传统的远程代码执行RCE但其对 AI 驱动工作流的潜在影响不容小觑。漏洞本质间接提示注入攻击该漏洞的核心并非直接执行代码而是间接提示注入。不受信任的输入被写入日志后AI Agent 在进行故障排除或决策时可能将这些日志视为可信的系统上下文从而被误导。根据 Eye Security 的技术分析受影响版本的 OpenClaw 在记录某些WebSocket 请求头如 Origin 和 User-Agent时未进行充分的清理和转义。攻击者若能访问网关接口只需发送精心构造的请求头值即可将恶意内容持久化嵌入日志行中形成“投毒”效果。实际影响与攻击面影响程度高度依赖下游日志消费方式。典型场景是运维人员要求 AI Agent 诊断错误时Agent 会将近期日志纳入上下文。此时注入的内容可能被误读为操作指令、可信系统消息或结构化记录从而引导 Agent 的故障排除步骤、影响决策甚至操纵事件总结。攻击面正在扩大在 Shodan 等搜索引擎上搜索 OpenClaw 默认端口18789即可发现数千个暴露在互联网上的实例。即使利用需依赖特定上下文日志投毒仍具吸引力——它成本低、可重复且针对的是 AI 层的解释机制而非传统内存漏洞。上图分别为 Shodan 暴露端口示意和 WebSocket 连接原理突出公开实例的攻击风险。AI Agent 读取日志进行故障排除的工作流正是日志投毒最容易发挥作用的场景。缓解措施与最佳实践OpenClaw 已于2026.2.13 版本中修复该问题。所有运行旧版本的团队应立即升级至 2026.2.13 或更高版本并优先检查网关暴露情况避免服务直接面向公共互联网。额外防御建议包括在记录日志前对用户可控的头字段进行清理或转义限制头字段长度减少可注入的有效载荷空间将“人工调试日志”与“Agent 推理输入”严格分离让模型默认不读取原始受污染的遥测数据监控异常头字段模式及 WebSocket 连接失败激增作为投毒尝试的早期预警