OpenClaw之父回信確認(rèn)漏洞，360為全行業(yè)“養(yǎng)蝦人”筑牢安全防線

近日，360安全云團(tuán)隊(duì)收到OpenClaw創(chuàng)始人Peter的官方郵件。在回信中，Peter正式確認(rèn)了由360團(tuán)隊(duì)獨(dú)家發(fā)現(xiàn)的OpenClaw Gateway WebSocket無(wú)認(rèn)證升級(jí)漏洞。目前，360已將該高危漏洞同步報(bào)送至國(guó)家信息安全漏洞共享平臺(tái)（CNVD），協(xié)助全網(wǎng)第一時(shí)間切斷風(fēng)險(xiǎn)源頭。

此次確認(rèn)的WebSocket無(wú)認(rèn)證升級(jí)漏洞屬于零日（0Day）漏洞，攻擊者可利用該漏洞通過(guò)WebSocket靜默繞過(guò)權(quán)限認(rèn)證，獲取智能體網(wǎng)關(guān)控制權(quán)，進(jìn)而可能導(dǎo)致目標(biāo)系統(tǒng)資源耗盡或全面崩潰。

這一漏洞也再次提醒行業(yè)：隨著智能體從“對(duì)話工具”走向“執(zhí)行系統(tǒng)”，其安全風(fēng)險(xiǎn)正從模型層快速延伸至接口層、技能調(diào)用鏈與系統(tǒng)權(quán)限層。公網(wǎng)暴露接口、惡意Skill投毒、提示詞注入以及行為缺乏審計(jì)機(jī)制，正在成為全行業(yè)“養(yǎng)蝦”過(guò)程中的共性隱患。正如360集團(tuán)創(chuàng)始人周鴻祎此前提出，智能體時(shí)代需要堅(jiān)持“以模治模”，通過(guò)安全能力對(duì)智能體運(yùn)行全過(guò)程進(jìn)行約束與監(jiān)測(cè)。

圍繞上述風(fēng)險(xiǎn)，360確立了“用AI監(jiān)督AI、以Skill治理Skill”的核心策略，并已面向企業(yè)與開(kāi)發(fā)者推出智能體部署安全檢測(cè)與風(fēng)險(xiǎn)排查能力（即“360安全云·龍蝦保”），對(duì)運(yùn)行環(huán)境暴露面、高危漏洞及惡意Skill引入風(fēng)險(xiǎn)進(jìn)行精準(zhǔn)識(shí)別。同時(shí)，360也上線了面向個(gè)人用戶(hù)的一體化解決方案“360安全龍蝦”及其內(nèi)置組件“360龍蝦衛(wèi)士”，通過(guò)隔離運(yùn)行環(huán)境與嚴(yán)格的權(quán)限控制機(jī)制，大幅降低智能體本地使用過(guò)程中的安全不確定性。

業(yè)內(nèi)人士認(rèn)為，此次漏洞獲得原作者郵件確認(rèn)，顯示國(guó)內(nèi)安全團(tuán)隊(duì)已開(kāi)始在智能體核心執(zhí)行鏈路層形成實(shí)質(zhì)性的風(fēng)險(xiǎn)識(shí)別能力，這也為當(dāng)前快速發(fā)展的智能體應(yīng)用生態(tài)提供了重要的安全參考。

360安全云團(tuán)隊(duì)表示，未來(lái)360將持續(xù)跟進(jìn)OpenClaw生態(tài)的漏洞挖掘與修復(fù)支持，推進(jìn)智能體應(yīng)用的實(shí)戰(zhàn)化防御。