软盟资讯
2026年3月22日,OpenClaw创始人Peter通过官方邮件正式确认:360安全云团队独家发现的OpenClaw Gateway WebSocket无认证升级漏洞为高危零日漏洞。这一事件不仅暴露了智能体应用生态的潜在风险,更凸显了国内安全团队在核心执行链路层的风险识别能力。
漏洞详情:静默绕过权限的致命缺陷
据360披露,该漏洞属于WebSocket无认证升级漏洞,攻击者可利用WebSocket协议静默绕过权限认证,直接获取智能体网关控制权。一旦被恶意利用,可能导致目标系统资源耗尽、服务崩溃,甚至引发链式反应威胁企业内网安全。360已将漏洞同步报送至国家信息安全漏洞共享平台(CNVD),协助全网切断风险源头。
OpenClaw的崛起与安全挑战
OpenClaw作为2025年11月上线的开源AI Agent框架,凭借与WhatsApp、Telegram等即时通讯工具的深度整合,迅速成为GitHub增长最快的现象级项目,累计获超20万星标。其核心优势在于赋予AI模型直接调用操作系统API的能力,使AI从“对话工具”升级为“执行系统”。然而,这种高特权架构也埋下隐患——据网空引擎监测,2026年1月至2月全球暴露在公网的OpenClaw实例超4.2万个,成为自动化攻击的“活靶子”。
360的防御策略:以AI治AI
面对智能体时代的新挑战,360提出“以模治模”核心策略,通过安全能力约束智能体运行全过程。具体措施包括:
- 企业级解决方案:推出“360安全云·龙虾保”,对运行环境暴露面、高危漏洞及恶意Skill引入风险进行精准识别。
- 个人用户防护:上线“360安全龙虾”及“龙虾卫士”组件,通过隔离运行环境与严格权限控制降低本地使用风险。
- 生态共建:持续跟进OpenClaw漏洞挖掘与修复,推进智能体应用的实战化防御。
行业启示:安全需前置到设计环节
此次漏洞事件为行业敲响警钟。随着AI从“模型层”向“接口层、技能调用链、系统权限层”延伸,公网暴露接口、恶意Skill投毒、提示词注入等成为共性隐患。360集团创始人周鸿祎强调,智能体时代需构建“安全能力全链路覆盖”的防御体系,将安全审计、访问控制、加密存储等措施前置到架构设计阶段。
关于文章版权的声明:
https://news.softunis.com/54714.html 文章来自软盟资讯
若非本站原创的文章,特别作如下声明:
本文刊载所有内容仅供提供信息交流和业务探讨而非提供法律建议目的使用,不代表任何监管机构的立场和观点。不承担任何由于内容的合法性及真实性所引起的争议和法律责任。
凡注明为其他媒体来源的信息,均为转载,版权归版权所有人所有。
如有未注明作者及出处的文章和资料等素材,请版权所有者联系我们,我们将及时补上或者删除,共同建设自媒体信息平台,感谢你的支持!
