近日,一封来自OpenClaw创始人Peter的官方邮件引发安全行业关注。邮件中,Peter正式确认了由360安全云团队独立发现的OpenClaw Gateway WebSocket无认证升级漏洞,标志着国内安全研究机构在智能体核心执行链路层的风险识别能力获得国际认可。
该漏洞被归类为零日(0Day)高危漏洞,攻击者可利用WebSocket协议特性,在无需任何认证的情况下绕过权限校验机制,直接获取智能体网关的完全控制权。据技术分析,攻击者可通过持续占用系统资源或触发级联故障,导致目标系统陷入瘫痪状态。360安全团队在发现漏洞后,已第一时间将详细技术报告提交至国家信息安全漏洞共享平台(CNVD),协助全网开展风险排查与修复工作。
随着智能体从基础对话工具向复杂执行系统演进,其安全边界正经历根本性转变。安全专家指出,当前智能体生态面临四大核心风险:公网暴露的API接口、恶意Skill代码注入、提示词逻辑漏洞以及操作行为审计缺失。这些问题如同智能体生态中的"隐形地雷",可能对关键基础设施造成连锁反应式破坏。
此次漏洞确认事件具有双重里程碑意义。技术层面,国内安全团队首次在智能体核心执行链路层实现风险穿透式识别;行业层面,为快速扩张的智能体应用市场提供了关键安全基准。据CNVD统计,2023年智能体相关漏洞数量同比增长230%,其中78%涉及权限控制失效问题。
360安全云团队负责人表示,智能体安全防护需要构建"纵深防御"体系,涵盖协议层加密认证、技能代码沙箱隔离、操作行为全链路审计等多个维度。目前团队已开发自动化检测工具,可对主流智能体框架进行实时漏洞扫描,相关技术方案正在向开源社区贡献。
