360安全云团队近期在网络安全领域取得重大突破,成功发现并确认了OpenClaw Gateway中存在的WebSocket无认证升级高危漏洞。这一发现源于OpenClaw创始人Peter的官方回信,他在信中明确认可了360团队的独家发现,并确认了该漏洞的严重性。目前,360已将该漏洞信息同步报送至国家信息安全漏洞共享平台(CNVD),为全网防范风险提供了关键支持。
该漏洞属于典型的零日(0Day)漏洞,具有极高的隐蔽性和破坏性。攻击者可通过WebSocket协议静默绕过权限认证机制,直接获取智能体网关的控制权。一旦成功利用,可能导致目标系统资源被恶意耗尽,甚至引发全面崩溃,对关键基础设施和业务系统构成严重威胁。
随着智能体技术从简单的对话工具向复杂执行系统演进,其安全风险已从模型层快速扩展至接口层、技能调用链及系统权限层。当前行业普遍存在的公网暴露接口、恶意Skill投毒、提示词注入攻击以及行为审计机制缺失等问题,正在成为制约技术发展的共性隐患。这些漏洞如同"养虾"过程中的潜在风险,稍有不慎就可能引发系统性安全危机。
360集团创始人周鸿祎此前提出的"以模治模"安全理念,在此次漏洞发现中得到充分验证。该理念强调通过构建安全能力体系,对智能体运行全过程实施动态约束与实时监测。此次360团队能够率先发现并处置高危漏洞,正是得益于其基于安全大模型构建的主动防御体系,有效弥补了传统安全防护在智能体场景下的不足。
