周鸿祎一直在强调要“以模治模”,这种思路最近确实让大家见识到了效果。比如360集团旗下的360安全云团队,他们刚收到了OpenClaw创始人Peter发的一封邮件。Peter在信里正式认可了360团队的工作,承认是咱们这边独家发现了Gateway里的WebSocket无认证升级漏洞。这下好了,这种危害极大的高危漏洞第一时间就通过国家信息安全漏洞共享平台(CNVD)报送出去了。 这事儿不仅说明360在智能体执行链路层的风险识别能力很强,也正好印证了周鸿祎之前说的话:当智能体从“聊天工具”变成“干活系统”后,危险可不光藏在模型里,接口、Skill调用链和权限层也都成了重灾区。大家都怕出问题,“养虾”的时候总是先想办法排雷。像公网接口暴露、Skill被恶意投毒、提示词被注入这些都是通病,尤其是行为没法审计,简直是大隐患。 针对这些问题,360搞出了“用AI监督AI、以Skill治理Skill”的核心策略。他们把“360安全云·龙虾保”推给了企业和开发者,专门盯着运行环境暴露面、高危漏洞和恶意Skill。 360还专门给普通用户准备了“360安全龙虾”和内置的“360龙虾卫士”。这两个工具通过隔离运行环境、严控权限,让咱们在家里用智能体的时候心里更踏实。业内觉得这回Peter的邮件确认很有分量,说明国内的安全团队开始在智能体核心层面搞事情了。 这次的漏洞属于“零日”(0Day),要是不修复的话,黑客就能通过WebSocket悄无声息地绕过权限控制,直接把智能体网关给拿下。到时候资源耗尽或者系统崩溃就不好收场了。 360安全云团队表示以后会一直盯着OpenClaw生态的漏洞挖掘和修复工作。只要有风险出现,咱们肯定全力跟上。