]4月7日，360漏洞挖掘智能體宣布成功發(fā)現(xiàn)并上報(bào)了AI智能體OpenClaw的3項(xiàng)高價(jià)值安全漏洞，其中包括1個(gè)高危漏洞及2個(gè)中危漏洞。目前，相關(guān)漏洞均已獲官方修復(fù)并公開(kāi)披露。這一進(jìn)展標(biāo)志著AI智能體在自動(dòng)化安全審計(jì)領(lǐng)域?qū)崿F(xiàn)了從傳統(tǒng)規(guī)則驅(qū)動(dòng)向智能思維驅(qū)動(dòng)的跨越，為AI原生應(yīng)用的安全治理提供了關(guān)鍵技術(shù)支撐。

此次發(fā)現(xiàn)的高危漏洞聚焦于本地腳本的審批與執(zhí)行機(jī)制，攻擊者可通過(guò)篡改已通過(guò)審批的腳本內(nèi)容實(shí)現(xiàn)代碼非法執(zhí)行，進(jìn)而控制用戶(hù)設(shè)備。兩處中危漏洞則分別涉及OAuth手動(dòng)授權(quán)流程中的安全校驗(yàn)參數(shù)復(fù)用，以及語(yǔ)音通話WebSocket數(shù)據(jù)處理中的資源管控缺陷。前者可能導(dǎo)致用戶(hù)Google服務(wù)賬號(hào)權(quán)限被接管，后者則可能引發(fā)系統(tǒng)資源耗盡導(dǎo)致的設(shè)備崩潰。這些漏洞直擊AI智能體核心運(yùn)行機(jī)制，暴露出當(dāng)前智能體在權(quán)限隔離與協(xié)議實(shí)現(xiàn)上的深層隱患。

據(jù)360方面介紹，該漏洞挖掘智能體體系已累計(jì)發(fā)現(xiàn)多款主流AI智能體的高價(jià)值漏洞。相比傳統(tǒng)掃描工具，該系統(tǒng)能夠模擬安全專(zhuān)家的攻防直覺(jué)，實(shí)現(xiàn)漏洞排查、驗(yàn)證及復(fù)現(xiàn)的自動(dòng)化，從而將人力價(jià)值釋放到更具創(chuàng)造力的風(fēng)險(xiǎn)研判領(lǐng)域。隨著AI智能體逐漸深入用戶(hù)業(yè)務(wù)流，此類(lèi)由AI驅(qū)動(dòng)的自動(dòng)化漏洞挖掘技術(shù)將成為保障AI產(chǎn)業(yè)鏈底層安全的關(guān)鍵基礎(chǔ)設(shè)施，推動(dòng)行業(yè)構(gòu)建更具韌性的安全防御體系。