近日，一封來(lái)自O(shè)penClaw創(chuàng)始人Peter的官方郵件引發(fā)網(wǎng)絡(luò)安全領(lǐng)域關(guān)注。郵件中，Peter正式確認(rèn)了由360安全云團(tuán)隊(duì)獨(dú)立發(fā)現(xiàn)的OpenClaw Gateway存在高危漏洞。該漏洞涉及WebSocket協(xié)議的無(wú)認(rèn)證升級(jí)機(jī)制，屬于典型的零日（0Day）安全風(fēng)險(xiǎn)。

據(jù)技術(shù)分析，攻擊者可利用此漏洞繞過(guò)系統(tǒng)權(quán)限驗(yàn)證，通過(guò)WebSocket通道直接獲取智能體網(wǎng)關(guān)的控制權(quán)限。這種隱蔽的攻擊方式不僅可能導(dǎo)致目標(biāo)系統(tǒng)資源被惡意消耗，甚至可能引發(fā)整個(gè)服務(wù)架構(gòu)的全面癱瘓。360安全團(tuán)隊(duì)在發(fā)現(xiàn)漏洞后，已第一時(shí)間將詳細(xì)信息上報(bào)至國(guó)家信息安全漏洞共享平臺(tái)（CNVD），為行業(yè)防范風(fēng)險(xiǎn)爭(zhēng)取了寶貴時(shí)間。

隨著人工智能技術(shù)從基礎(chǔ)對(duì)話功能向復(fù)雜執(zhí)行系統(tǒng)演進(jìn)，安全防護(hù)的邊界正在發(fā)生根本性變化。專家指出，當(dāng)前智能體系統(tǒng)的安全威脅已從模型算法層快速蔓延至接口調(diào)用、技能組件和系統(tǒng)權(quán)限等核心鏈路。公網(wǎng)暴露的服務(wù)接口、缺乏審核的第三方技能組件、以及容易被注入惡意指令的交互接口，正在成為威脅智能體生態(tài)安全的三大薄弱環(huán)節(jié)。

此次漏洞確認(rèn)具有特殊意義——它標(biāo)志著國(guó)內(nèi)安全研究機(jī)構(gòu)在智能體執(zhí)行鏈路層的風(fēng)險(xiǎn)識(shí)別能力達(dá)到國(guó)際先進(jìn)水平。360團(tuán)隊(duì)通過(guò)構(gòu)建完整的攻擊鏈模擬環(huán)境，成功復(fù)現(xiàn)了從權(quán)限繞過(guò)到系統(tǒng)控制的完整攻擊路徑，為行業(yè)提供了極具參考價(jià)值的防御范式。這種從底層協(xié)議到上層應(yīng)用的系統(tǒng)性安全研究，正在重塑人工智能時(shí)代的安全防護(hù)標(biāo)準(zhǔn)。

安全業(yè)界普遍認(rèn)為，隨著智能體在金融、醫(yī)療、工業(yè)控制等關(guān)鍵領(lǐng)域的深度應(yīng)用，此類底層協(xié)議漏洞的危害性將呈指數(shù)級(jí)增長(zhǎng)。建立覆蓋全生命周期的安全評(píng)估體系，已成為保障智能體技術(shù)健康發(fā)展的當(dāng)務(wù)之急。此次事件再次提醒行業(yè)：在追求技術(shù)創(chuàng)新的同時(shí)，必須同步構(gòu)建與之匹配的安全防御能力。