众所周知,目前OpenClaw可谓是全球最热的话题,国内也有多家知名互联网和科技企业推出了自家的“龙虾”产品,助力用户成为“养虾人”。然而,不少权威互联网安全机构和业内人士也对OpenClaw的安全性提出了建议和提醒。日前,据360安全云团队透露,目前已经收到了OpenClaw创始人Peter的官方邮件,正式确认了由360团队独家发现的OpenClaw Gateway WebSocket无认证升级漏洞。同时,360也表示,已将该高危漏洞同步报送至国家信息安全漏洞共享平台(CNVD),协助全网第一时间切断风险源头。
据悉,此次360团队独家发现的OpenClaw Gateway WebSocket无认证升级漏洞属于零日(0Day)漏洞,攻击者可利用该漏洞通过WebSocket静默绕过权限认证,获取智能体网关控制权,进而可能导致目标系统资源耗尽或全面崩溃。其安全风险正从模型层快速延伸至接口层、技能调用链与系统权限层。公网暴露接口、恶意Skill投毒、提示词注入以及行为缺乏审计机制,正在成为全行业“养虾”过程中的共性隐患。此前,360集团创始人周鸿祎就曾表示,智能体时代需要坚持“以模治模”,通过安全能力对智能体运行全过程进行约束与监测。
另据360方面透露,其已确立了“用AI监督AI、以Skill治理Skill”的核心策略,并已面向企业与开发者推出智能体部署安全检测与风险排查能力(即“360安全云·龙虾保”),对运行环境暴露面、高危漏洞及恶意Skill引入风险进行精准识别。同时,360也上线了面向个人用户的一体化解决方案“360安全龙虾”及其内置组件“360龙虾卫士”,通过隔离运行环境与严格的权限控制机制,大幅降低智能体本地使用过程中的安全不确定性。此外,360安全云团队表示,未来360将持续跟进OpenClaw生态的漏洞挖掘与修复支持,推进智能体应用的实战化防御。
富牛配资提示:文章来自网络,不代表本站观点。
