近日,360安全云团队披露了一项重大安全漏洞的发现与处置进展。经OpenClaw项目创始人Peter邮件确认,由360团队独立发现的OpenClaw Gateway WebSocket认证绕过漏洞已被正式认定。该漏洞被归类为零日漏洞,攻击者可通过WebSocket协议绕过系统权限验证,直接获取智能体网关的完全控制权,进而引发目标系统资源耗尽或服务中断等严重后果。目前,360已将漏洞详情上报国家信息安全漏洞共享平台(CNVD),为行业风险防控提供关键支持。
随着人工智能应用从单一对话工具向复杂执行系统演进,安全威胁已从算法模型层向接口调用、技能链及系统权限层快速扩散。行业观察指出,公网接口暴露、恶意技能植入、提示词注入攻击以及操作日志缺失等问题,正在成为智能体生态的普遍性风险。此前,360集团创始人周鸿祎曾提出"以模治模"的安全理念,强调需通过技术手段对智能体全生命周期进行动态监控与约束。
针对上述挑战,360推出"双轨制"安全解决方案。在企业服务领域,"360安全云·龙虾保"平台可对智能体部署环境进行全面扫描,精准识别接口暴露面、高危漏洞及恶意技能库等风险点。针对个人用户场景,"360安全龙虾"一体化防护系统通过环境隔离技术与细粒度权限控制,有效降低本地化部署过程中的安全不确定性,其核心组件"龙虾卫士"已实现实时威胁阻断能力。
360安全云团队强调,将持续深化对OpenClaw生态系统的安全研究,建立漏洞发现-验证-修复的闭环响应机制。该团队透露,后续将重点攻关智能体接口防护、技能库安全审计等关键技术,推动行业构建更具韧性的实战化防御体系。目前,相关安全检测工具已向开发者社区开放申请,个人用户防护方案也完成全平台覆盖。
