近日,360安全團(tuán)隊(duì)在針對(duì)OpenClaw系統(tǒng)的安全研究中取得重要突破,成功識(shí)別并上報(bào)了三個(gè)具有重大安全影響的漏洞。這些漏洞涉及AI智能體底層運(yùn)行邏輯,可能對(duì)用戶設(shè)備安全、數(shù)據(jù)完整性及賬號(hào)體系構(gòu)成直接威脅。
據(jù)技術(shù)團(tuán)隊(duì)披露,此次發(fā)現(xiàn)的漏洞包含一個(gè)高危級(jí)別和兩個(gè)中危級(jí)別漏洞。高危漏洞存在于智能體決策模塊的權(quán)限校驗(yàn)環(huán)節(jié),攻擊者可利用該漏洞繞過系統(tǒng)防護(hù)機(jī)制,直接操控用戶設(shè)備執(zhí)行未授權(quán)操作。兩個(gè)中危漏洞則分別涉及數(shù)據(jù)傳輸加密缺陷和會(huì)話管理漏洞,可能導(dǎo)致用戶敏感信息泄露或賬號(hào)被劫持。
安全研究人員通過構(gòu)建模擬攻擊環(huán)境驗(yàn)證了漏洞危害性。實(shí)驗(yàn)顯示,在特定條件下,攻擊者能夠通過構(gòu)造惡意請(qǐng)求觸發(fā)系統(tǒng)異常,進(jìn)而獲取設(shè)備控制權(quán)或竊取存儲(chǔ)數(shù)據(jù)。這類攻擊手段具有隱蔽性強(qiáng)、破壞力大的特點(diǎn),可能被用于大規(guī)模網(wǎng)絡(luò)攻擊或定向滲透。
發(fā)現(xiàn)漏洞后,研究團(tuán)隊(duì)立即啟動(dòng)負(fù)責(zé)任披露流程,向OpenClaw官方提交詳細(xì)技術(shù)報(bào)告。開發(fā)方在確認(rèn)漏洞存在后,迅速組織技術(shù)力量進(jìn)行修復(fù),并在最新版本中部署了多重防護(hù)機(jī)制。目前所有漏洞均已完成熱修復(fù),用戶只需將系統(tǒng)升級(jí)至最新版本即可獲得完整保護(hù)。
此次漏洞發(fā)現(xiàn)再次凸顯AI系統(tǒng)安全防護(hù)的復(fù)雜性。專家指出,隨著人工智能技術(shù)在關(guān)鍵領(lǐng)域的廣泛應(yīng)用,其安全防護(hù)需要建立覆蓋算法、數(shù)據(jù)、系統(tǒng)全鏈條的防護(hù)體系。建議相關(guān)企業(yè)加強(qiáng)安全研發(fā)投入,定期開展?jié)B透測(cè)試,同時(shí)建立完善的漏洞響應(yīng)機(jī)制,共同維護(hù)智能生態(tài)安全。
