3月22日，近日，360安全云團隊收到OpenClaw創始人Peter的官方郵件。在回信中，Peter正式確認了由360團隊獨家發現的OpenClaw Gateway WebSocket無認證升級漏洞。目前，360已將該高危漏洞同步報送至國家信息安全漏洞共享平臺（CNVD），協助全網第一時間切斷風險源頭。

此次確認的WebSocket無認證升級漏洞屬于零日（0Day）漏洞，攻擊者可利用該漏洞通過WebSocket靜默繞過權限認證，獲取智能體網關控制權，進而可能導致目標系統資源耗盡或全面崩潰。

這一漏洞也再次提醒行業：隨著智能體從“對話工具”走向“執行系統”，其安全風險正從模型層快速延伸至接口層、技能調用鏈與系統權限層。公網暴露接口、惡意Skill投毒、提示詞注入以及行為缺乏審計機制，正在成為全行業“養蝦”過程中的共性隱患。正如360集團創始人周鴻祎此前提出，智能體時代需要堅持“以模治?！?，通過安全能力對智能體運行全過程進行約束與監測。

圍繞上述風險，360確立了“用AI監督AI、以Skill治理Skill”的核心策略，并已面向企業與開發者推出智能體部署安全檢測與風險排查能力（即“360安全云·龍蝦保”），對運行環境暴露面、高危漏洞及惡意Skill引入風險進行精準識別。同時，360也上線了面向個人用戶的一體化解決方案“360安全龍蝦”及其內置組件“360龍蝦衛士”，通過隔離運行環境與嚴格的權限控制機制，大幅降低智能體本地使用過程中的安全不確定性。

360安全云團隊表示，未來360將持續跟進OpenClaw生態的漏洞挖掘與修復支持，推進智能體應用的實戰化防御。（新浪科技）