近日,国家信息安全漏洞库(CNNVD)正式确认了一起由360数字安全集团发现的高危安全漏洞。该漏洞存在于全球广泛使用的OpenClaw平台中,涉及MEDIA协议Prompt注入绕过工具权限的问题,可能导致本地文件泄露。据初步统计,全球超过50个国家和地区的17万余个公开可访问的OpenClaw实例均受到此漏洞影响。
360安全团队在OpenClaw 2026.3.13版本的核心媒体处理模块中发现了这一隐患。研究人员指出,该漏洞具有攻击门槛低、波及范围广、危害程度高的显著特点。由于MEDIA协议运行于输出后处理层,可完全绕过平台原有的工具策略控制机制,使得攻击者即使在没有工具调用权限的情况下,仅凭群聊基础成员身份即可实施攻击。
技术分析显示,攻击者可通过该漏洞直接窃取服务器敏感信息,包括但不限于配置文件、用户数据等关键内容。这种信息泄露可能成为后续网络攻击的跳板,对系统安全构成严重威胁。360安全专家特别强调,此次发现的漏洞突破了传统安全防护的多个层级,其隐蔽性和破坏性均超出预期。
作为全球AI智能体安全领域的领先机构,360此次发现是继此前多次披露OpenClaw相关安全风险后的又一重要成果。该平台创始人曾就360团队此前提交的漏洞报告亲自致信确认,此次新漏洞的发现进一步印证了360在智能体安全研究方面的技术实力。目前,360已完成对该漏洞攻击链的完整验证与实测,确认其真实存在且具备实际利用价值。
针对这一严重安全风险,360数字安全集团已向OpenClaw平台方提供详细的技术分析报告和修复建议。修复方案涉及协议层权限控制、工具调用审计、输出内容过滤等多个关键环节。安全团队建议所有使用OpenClaw 2026.3.13版本的用户立即检查系统版本,及时升级至官方发布的安全补丁,并加强服务器敏感信息的访问控制。
此次漏洞事件再次凸显了智能体系统安全防护的复杂性。随着AI技术的广泛应用,类似MEDIA协议这样的新型交互接口正成为安全研究的新焦点。360安全团队表示,将持续关注智能体生态系统的安全动态,通过自主研发的多智能体协同漏洞挖掘系统,为全球用户提供更全面的安全保障。
