360独家发现的OpenClaw漏洞得到官方确认

OpenClaw创始人Peter通过官方邮件对360团队发现的WebSocket无认证升级漏洞进行了正式确认。360安全云团队已将这一高危漏洞信息提交给国家信息安全漏洞共享平台（CNVD），以便及时遏制风险。

 

这个WebSocket无认证升级漏洞被认定为零日漏洞，攻击者可以通过WebSocket绕过认证，获取智能体网关的控制权，进而导致系统资源耗尽或全面崩溃。

这次事件再次强调了随着智能体从对话工具转变为执行系统，其安全风险正在迅速从模型层面扩展到接口层面、技能调用链以及系统权限层面。公网暴露接口、恶意Skill注入、提示词注入以及缺乏行为审计机制，正成为全行业在智能体发展中面临的主要隐患。正如360集团创始人周鸿祎所提出的，智能体时代应坚持“以模治模”，即利用安全措施来约束和监控智能体的运行全过程。

针对上述风险，360提出了“用AI监督AI、以Skill治理Skill”的核心策略，并推出了智能体部署安全检测与风险排查能力（即“360安全云·龙虾保”），帮助企业与开发者精准识别潜在风险。同时，360还上线了一体化解决方案“360安全龙虾”及其内置组件“360龙虾卫士”，通过隔离运行环境和严格的权限控制机制，显著降低智能体本地使用过程中的安全隐患。

业内人士指出，此次漏洞得到原作者的邮件确认，表明国内安全团队已经在智能体的核心执行链路层面具备了实质性的风险识别能力，为智能体应用生态的安全发展提供了重要参考。

360安全云团队表示，未来将加大对OpenClaw生态中漏洞的挖掘与修复支持力度，进一步推进智能体应用的实际防御能力。