Nvidia修補NemoClaw開發平臺高風險資訊外洩漏洞

NemoClaw是Nvidia三月公布的自主AI代理人開源開發平臺NemoClaw。它是簡化OpenClaw長時（always-on）助理的參考軟體堆疊，主打與Nvidia GPU平臺及模型、控管軟體緊密整合，比OpenClaw具備企業需要的穩定、安全及隱私性。

上週修補的NemoClaw漏洞有二個，較嚴重的是CVE-2026-24222。這是位於沙箱環境初始化（initialization）元件，遠端攻擊者可傳送含有提示注入內容的請求，引發存取控制不當，使代理人在建立沙箱時讀取並外洩主機環境變項。成功濫用本漏洞可導致資訊洩露。CVE-2026-24222被列為CVSS風險值8.6的高嚴重性漏洞。

另一編號CVE-2026-24231的漏洞，存在validateEndpointUrl() SSRF防護元件中。攻擊者可提供變造過的端點URL，以blueprint配置檔或CLI flag提供參考0.0.0.0/8位址範圍，藉此引發伺服器端請求偽造（server-side request forgery，SSRF）。成功濫用本漏洞可造成資訊洩露。CVE-2026-24231風險被列為CVSS 5.9，為中度嚴重性，但NVD漏洞資料庫列為CVSS 6.3。

CVE-2026-24231影響NemoClaw 0.0.13以前版本，CVE-2026-24222則影響0.0.18以前版本。兩個漏洞皆為外部研究人員發現及通報。Nvidia呼籲用戶升級到NemoClaw 0.0.18版來緩解兩個漏洞。