Nvidia上周发布软件安全更新，修复了其自研的OpenClaw开发平台——NemoClaw中一个可能导致信息泄露的高危漏洞。

NemoClaw是Nvidia三月公布的开源AI代理开发平台，旨在简化OpenClaw长期运行（always-on）助手的实现。该平台深度集成Nvidia GPU硬件、AI模型与管控软件，相比原生OpenClaw，更符合企业对稳定性、安全性与隐私保护的需求。

此次修复的漏洞共两个，其中最严重的是CVE-2026-24222。该漏洞位于沙箱环境初始化组件中，远程攻击者可通过发送包含提示注入内容的请求，绕过访问控制，导致代理在创建沙箱时读取并泄露主机环境变量。成功利用此漏洞可造成敏感信息泄露。CVE-2026-24222被评定为CVSS 8.6分，属高危等级。

另一个漏洞编号为CVE-2026-24231，存在于validateEndpointUrl()函数的SSRF防护机制中。攻击者可构造恶意端点URL，通过blueprint配置文件或CLI参数指定0.0.0.0/8范围的地址，触发服务器端请求伪造（SSRF）。成功利用该漏洞同样可导致信息泄露。CVE-2026-24231的CVSS评分为5.9，属中危等级，但NVD漏洞数据库将其列为6.3分。

CVE-2026-24231影响NemoClaw 0.0.13及更早版本，CVE-2026-24222影响0.0.18及更早版本。两个漏洞均由外部研究人员发现并上报。Nvidia建议用户尽快升级至NemoClaw 0.0.18版本以缓解风险。