## NVIDIA NemoClaw 被指秘密修复安全漏洞，拒绝为报告者分配 CVE 编号
NVIDIA 的开源项目 NemoClaw 陷入一场关于安全漏洞披露的争议。一名安全研究员指控 NVIDIA 团队在公开否认其报告的问题后，又秘密修复了该漏洞，且未按行业惯例分配 CVE 编号或给予报告者应有的署名。这一行为引发了关于大型科技公司如何处理外部安全报告的严重质疑。

事件始于 3 月 26 日，研究员在 NemoClaw 的 GitHub 仓库中提交了漏洞报告。经过漫长的排查，NVIDIA 团队最终以“不予修复”为由关闭了该问题。然而，研究员随后发现，团队在未通知其本人的情况下，通过一个标题为“fix(security)”的拉取请求（Pull Request #1557）悄然修复了该漏洞。该漏洞涉及一个 SSRF 绕过问题，研究员认为其严重性足以获得 CVE 编号。NVIDIA 在公开沟通中声称“不是安全问题”，却在内部修复代码中明确标注为安全修复，这种前后矛盾的做法是争议的核心。

此举不仅损害了与独立安全研究社区的信任关系，也暴露了企业安全响应流程中的潜在缺陷。研究员在帖子中明确提到了 Oligo Security，并暗示可能将此事升级至 CERT 和国家漏洞数据库，这给 NVIDIA 带来了声誉和合规压力。对于依赖 NemoClaw 及其安全承诺的开发者和企业用户而言，这种不透明的处理方式构成了潜在风险。此事凸显了在开源生态中，维护者与外部贡献者之间透明、诚信协作的重要性。
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: 安全漏洞, CVE, 开源安全, NVIDIA, GitHub
- **Credibility**: unverified
- **Published**: 2026-04-13 15:23:04
- **ID**: 62231
- **URL**: https://whisperx.ai/en/intel/62231