近日,一則關于智能體安全領域的重大發現引發行業關注。360安全云團隊在技術巡查中,成功識別出OpenClaw Gateway組件存在的WebSocket無認證升級漏洞,這一發現已獲得項目創始人Peter的正式郵件確認。
該漏洞被歸類為零日(0Day)高危漏洞,攻擊者可通過WebSocket協議繞過系統權限驗證機制,直接獲取智能體網關的控制權限。技術分析顯示,此類攻擊可能導致目標系統出現資源耗盡、服務中斷甚至全面崩潰等嚴重后果。360安全團隊在確認漏洞后,第一時間向國家信息安全漏洞共享平臺(CNVD)提交了詳細技術報告,為全網系統升級防護提供關鍵支持。
隨著人工智能技術從基礎對話向復雜任務執行演進,智能體系統的安全邊界正在發生根本性變化。安全專家指出,當前智能體應用生態面臨四大新型風險:暴露在公網環境的接口、惡意Skill代碼注入、提示詞操縱攻擊以及操作行為審計缺失。這些隱患如同"數字養蝦場"中的隱形漏洞,可能被不法分子利用實施大規模攻擊。
此次漏洞發現具有特殊意義——這是國內安全團隊首次在智能體核心執行鏈路層實現風險實質性識別。行業觀察人士認為,這標志著我國在AI安全領域的技術積累已從模型層向系統層延伸,為快速發展的智能體應用提供了關鍵安全保障。據360團隊透露,他們正在開發自動化檢測工具,幫助開發者提前識別類似接口層漏洞。
