近日,一則關于網絡安全領域的重大發現引發關注。360安全云團隊在與OpenClaw創始人Peter的郵件溝通中,獲得對方正式確認——該團隊獨家發現了OpenClaw Gateway存在的WebSocket無認證升級漏洞。這一發現不僅凸顯了國內安全團隊的技術實力,也為智能體應用生態的安全防護敲響了警鐘。
據技術分析,該漏洞屬于典型的零日(0Day)漏洞,具有極高的危險性。攻擊者可通過WebSocket協議,在無需權限認證的情況下靜默滲透系統,直接獲取智能體網關的控制權。一旦成功利用,可能導致目標系統資源被惡意耗盡,甚至引發全面崩潰,對用戶數據和業務連續性構成嚴重威脅。
發現漏洞后,360團隊迅速采取行動,將詳細技術信息同步報送至國家信息安全漏洞共享平臺(CNVD),協助全網及時切斷風險傳播路徑。這一舉措體現了安全團隊的責任意識,也為行業應對類似漏洞提供了參考范本。
隨著智能體從簡單的“對話工具”進化為復雜的“執行系統”,其安全邊界正在從模型層向接口層、技能調用鏈及系統權限層快速擴展。公網暴露的接口、惡意Skill的投毒、提示詞注入攻擊,以及缺乏審計機制的行為記錄,已成為智能體應用生態中普遍存在的安全隱患,亟待全行業重視。
業內專家指出,此次漏洞獲得原作者確認,標志著國內安全團隊在智能體核心執行鏈路層的風險識別能力已形成實質性突破。這不僅為當前快速發展的智能體應用提供了關鍵安全支撐,也提醒整個行業需構建更完善的安全防護體系,以應對日益復雜的網絡攻擊威脅。
