近日,360公司自主研发的漏洞挖掘智能体在安全领域取得重要突破,成功识别并上报了知名AI智能体OpenClaw存在的三项安全缺陷,其中包括一项高危漏洞和两项中危漏洞。目前,相关技术团队已完成修复工作,漏洞细节已通过官方渠道向公众披露。这一发现不仅验证了AI技术在安全审计中的创新应用,更为智能体生态系统的安全防护提供了新型解决方案。
据技术分析报告显示,高危漏洞存在于本地脚本的审批执行环节。攻击者可通过篡改已通过安全审查的脚本内容,绕过系统防护机制,实现恶意代码的非法执行,最终达到控制用户设备的目的。两项中危漏洞则分别涉及OAuth授权流程和语音通信协议:前者因安全校验参数被重复使用,可能导致用户Google账号权限被非法接管;后者由于WebSocket数据处理存在资源管理缺陷,可能引发系统资源过度消耗,最终导致设备服务中断。
这些安全缺陷直指AI智能体的核心运行逻辑,暴露出当前智能体在权限隔离机制和通信协议实现方面存在的系统性风险。特别是OAuth授权流程的参数复用问题,反映出部分开发者在实现第三方服务集成时,对安全校验环节的设计存在认知盲区。而语音通信协议的资源管控缺陷,则凸显了实时数据处理场景下安全防护的复杂性。
360安全团队介绍,其研发的智能体漏洞挖掘系统已形成完整的技术闭环。该系统通过模拟人类安全专家的攻防思维模式,构建了包含漏洞探测、攻击验证、影响评估在内的自动化处理流程。与传统安全扫描工具相比,该系统能够更精准地识别复杂业务场景下的隐蔽漏洞,将安全人员从重复性劳动中解放出来,使其能够专注于高阶安全策略的制定。
随着AI智能体在金融、医疗、工业控制等关键领域的深入应用,此类基于AI技术的自动化安全审计工具正成为保障智能体生态安全的重要基础设施。360团队表示,将持续优化漏洞挖掘算法,提升对新型攻击技术的识别能力,同时推动建立智能体安全开发标准,助力行业构建更具弹性的安全防护体系。
