中经记者 李静 北京报道

近日,360安全云团队获得OpenClaw创始人Peter的官方回信,正式确认了由360团队发现的OpenClaw Gateway WebSocket无认证升级漏洞。目前,360已将该高危漏洞信息同步报送至国家信息安全漏洞共享平台(CNVD),以协助全行业及时防御。

据介绍,该漏洞被确认为零日漏洞,攻击者可利用其通过WebSocket协议静默绕过权限认证,直接获取智能体网关控制权,进而可能导致目标系统资源耗尽甚至全面崩溃,威胁极大。

事件背后,折射出智能体(AI Agent)从“对话工具”迈向“执行系统”过程中,所面临的全新安全挑战。风险正从模型层快速延伸至接口层、技能调用链与系统权限层。公网暴露接口、恶意Skill(技能)投毒、提示词注入以及行为缺乏审计机制,已成为行业“养虾”(指培育、使用智能体)过程中的共性隐患。

360方面表示,未来将持续跟进OpenClaw等生态的漏洞挖掘与修复支持,推动智能体应用的实战化安全防御体系建设。

(编辑:张靖超 审核:李正豪 校对:颜京宁)