话说CNVD那边最近可是有大动作。360安全云团队收到了个特别有意思的邮件,发件人居然是OpenClaw的创始人Peter。这哥们在回信里跟咱们实诚地认了错,承认咱们发现的那个Gateway的WebSocket无认证升级漏洞是真的存在。这可不是闹着玩的零日漏洞,要是给黑客钻了空子,那可真的是要出大问题。黑客能利用这个漏洞通过WebSocket通道,悄无声息地绕过权限认证,直接把智能体网关的控制权给抢过去。一旦真被坏人利用了,系统资源很容易就被耗尽,甚至直接崩溃。 这个消息可真让人捏了把汗。好在360团队反应迅速,第一时间把这个高危漏洞给上报到了国家信息安全漏洞共享平台。这下好了,全网都能一起帮忙排查风险、切断源头了。不过话说回来,这个事也给智能体行业敲了个警钟。以前大家总觉得智能体就只是个对话工具,现在不一样了,它正慢慢变成核心执行系统。安全风险早就不只是在模型层里打转了,现在已经蔓延到接口层、技能调用链和系统权限层了。 现在这种公网暴露接口、恶意Skill投毒、提示词注入、行为审计跟不上的问题,在行业里那是相当普遍。业内人士都说这次创始人亲自回信确认漏洞这件事挺让人意外的。这充分说明国内的安全团队已经在智能体的核心执行链路上有了真本事。这不仅是个好消息,更是给现在高速发展的智能体应用生态指了条明路,让大家能更好地筑牢安全底线。