3月23日消息，近日，360安全云團(tuán)隊(duì)收到OpenClaw創(chuàng)始人Peter的官方郵件。

在回信中，Peter正式確認(rèn)了由360團(tuán)隊(duì)獨(dú)家發(fā)現(xiàn)的OpenClaw Gateway WebSocket無(wú)認(rèn)證升級(jí)漏洞。

目前，360已將該高危漏洞同步報(bào)送至國(guó)家信息安全漏洞共享平臺(tái)（CNVD），協(xié)助全網(wǎng)第一時(shí)間切斷風(fēng)險(xiǎn)源頭。

據(jù)了解，此次確認(rèn)的WebSocket無(wú)認(rèn)證升級(jí)漏洞屬于零日（0Day）漏洞，攻擊者可利用該漏洞通過(guò)WebSocket靜默繞過(guò)權(quán)限認(rèn)證，獲取智能體網(wǎng)關(guān)控制權(quán)，進(jìn)而可能導(dǎo)致目標(biāo)系統(tǒng)資源耗盡或全面崩潰。

這一漏洞也再次提醒行業(yè)：隨著智能體從“對(duì)話工具”走向“執(zhí)行系統(tǒng)”，其安全風(fēng)險(xiǎn)正從模型層快速延伸至接口層、技能調(diào)用鏈與系統(tǒng)權(quán)限層。

公網(wǎng)暴露接口、惡意Skill投毒、提示詞注入以及行為缺乏審計(jì)機(jī)制，正在成為全行業(yè)“養(yǎng)蝦”過(guò)程中的共性隱患。

業(yè)內(nèi)人士認(rèn)為，此次漏洞獲得原作者郵件確認(rèn)，顯示國(guó)內(nèi)安全團(tuán)隊(duì)已開(kāi)始在智能體核心執(zhí)行鏈路層形成實(shí)質(zhì)性的風(fēng)險(xiǎn)識(shí)別能力，這也為當(dāng)前快速發(fā)展的智能體應(yīng)用生態(tài)提供了重要的安全參考。