近日,一封來自OpenClaw創始人Peter的官方郵件引發安全行業關注。郵件中,Peter正式確認了由360安全云團隊獨立發現的OpenClaw Gateway WebSocket無認證升級漏洞,標志著國內安全研究機構在智能體核心執行鏈路層的風險識別能力獲得國際認可。
該漏洞被歸類為零日(0Day)高危漏洞,攻擊者可利用WebSocket協議特性,在無需任何認證的情況下繞過權限校驗機制,直接獲取智能體網關的完全控制權。據技術分析,攻擊者可通過持續占用系統資源或觸發級聯故障,導致目標系統陷入癱瘓狀態。360安全團隊在發現漏洞后,已第一時間將詳細技術報告提交至國家信息安全漏洞共享平臺(CNVD),協助全網開展風險排查與修復工作。
隨著智能體從基礎對話工具向復雜執行系統演進,其安全邊界正經歷根本性轉變。安全專家指出,當前智能體生態面臨四大核心風險:公網暴露的API接口、惡意Skill代碼注入、提示詞邏輯漏洞以及操作行為審計缺失。這些問題如同智能體生態中的"隱形地雷",可能對關鍵基礎設施造成連鎖反應式破壞。
此次漏洞確認事件具有雙重里程碑意義。技術層面,國內安全團隊首次在智能體核心執行鏈路層實現風險穿透式識別;行業層面,為快速擴張的智能體應用市場提供了關鍵安全基準。據CNVD統計,2023年智能體相關漏洞數量同比增長230%,其中78%涉及權限控制失效問題。
360安全云團隊負責人表示,智能體安全防護需要構建"縱深防御"體系,涵蓋協議層加密認證、技能代碼沙箱隔離、操作行為全鏈路審計等多個維度。目前團隊已開發自動化檢測工具,可對主流智能體框架進行實時漏洞掃描,相關技術方案正在向開源社區貢獻。
