文章总结： 本期通报了2026年3月4日至19日期间的155个重要人工智能漏洞，涵盖OpenClaw、腾讯、HCL等多个厂商。其中超危漏洞18个，高危56个，中危81个。具体实例包括：OpenClaw因未验证webhook密钥导致数据伪造问题；sglang的replayrequestdump.py文件存在反序列化安全漏洞；VMwareSpringAI因缺少输入清理可导致SQL注入。目前相关厂商均已发布修复补丁。 综合评分： 85 文章分类： AI安全,漏洞预警,安全大事件,应用安全,网络安全

人工智能重要漏洞通报（2026年第三期）

原创

CNNVD CNNVD

CNNVD安全动态

2026年3月20日 16:57 北京

点击蓝字 关注我们

漏洞情况

根据国家信息安全漏洞库（CNNVD）统计，近期（2026年3月4日至2026年3月19日）共采集重要人工智能漏洞155个，CNNVD对这些漏洞进行了收录。本周人工智能类漏洞主要涵盖了OpenClaw、腾讯、HCL等多个厂商（项目）。CNNVD对其危害等级进行了评价，其中超危漏洞18个，高危漏洞56个，中危漏洞81个。

一 人工智能漏洞增长数量情况

近期CNNVD采集人工智能漏洞155个。

图1 近五周漏洞新增数量统计图

二 人工智能漏洞具体情况

近期共采集人工智能漏洞155个，包括OpenClaw、腾讯、HCL等多个厂商（项目）的漏洞。其中超危漏洞18个，高危漏洞56个，中危漏洞81个。具体如表1所示：

表1 人工智能漏洞列表

三 重要人工智能漏洞实例

近期重要漏洞实例如表2所示。

表2 本期重要漏洞实例

1. OpenClaw 数据伪造问题漏洞（CNNVD-202603-623）

OpenClaw是一个开源的智能人工助理软件。

OpenClaw 2026.2.2之前版本存在数据伪造问题漏洞，该漏洞源于未验证Telegram webhook模式中的webhook密钥，攻击者利用该漏洞可以执行任意命令。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://github.com/openclaw/openclaw/releases

2. sglang 安全漏洞（CNNVD-202603-2425）

sglang是一个开源的用于加速大模型推理的编程语言系统。

sglang存在安全漏洞，该漏洞源于replay_request_dump.py文件中的pickle.load函数没有进行验证和正确的反序列化操作，攻击者利用该漏洞可以执行恶意代码。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://github.com/sgl-project/sglang/releases

3. VMware Spring AI 安全漏洞（CNNVD-202603-3285）

VMware Spring AI是美国威睿（VMware）公司的一个在Spring生态中集成人工智能与大语言模型能力的开发框架。

VMware Spring AI存在安全漏洞，该漏洞源于MariaDBFilterExpressionConverter缺少输入清理，攻击者利用该漏洞可以绕过访问控制并执行任意SQL命令。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://spring.io/projects/spring-ai

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：CNNVD安全动态 CNNVD CNNVD《人工智能重要漏洞通报（2026年第三期）》