3月23日这天,消息传来了,360的安全云团队收到了OpenClaw创始人Peter的正式回信。他给360团队点了个赞,确认了那个独家发现的漏洞。Peter是在确认360团队发现了OpenClaw Gateway WebSocket的无认证升级漏洞。这个漏洞可是个零日漏洞(0Day),挺危险的。OpenClawc创始人Peter就把这个漏洞交给了360团队去修复。攻击者就能利用这个漏洞,通过WebSocket偷偷绕过权限认证,拿到智能体网关的控制权。一旦掌控了智能体网关,攻击者就可能把目标系统的资源耗光,或者干脆让它崩溃。国内的团队已经具备了核心链路风险识别能力。AI智能生成的内容也提醒我们,智能体正从一个简单的对话工具转变为执行系统。这次的事件也给我们提了个醒:智能体的安全风险正在快速扩大,从模型层延伸到接口层、技能调用链和系统权限层。恶意Skill投毒、提示词注入和缺乏行为审计机制也成为了行业的隐患。360团队已经把这个高危漏洞提交给了国家信息安全漏洞共享平台(CNVD),帮助大家尽快切断风险源头。如果要保障智能体执行系统的安全,就需要给接口层加强防护、完善权限链以及监控恶意Skill和提示词注入等行为。Peter也认可了360团队在核心链路风险识别上的能力,他们已经给这个重要的漏洞进行了确认。Skill调用链和系统权限层也是智能体安全中的重点问题。公开暴露接口的问题也应该引起足够重视。 这一次Peter正式回应了360团队的发现:OpenClaw Gateway WebSocket确实存在无认证升级漏洞。 这种类型的漏洞让人很头疼。 公网暴露接口的问题也非常值得关注。 这次发现的WebSocket无认证升级漏洞属于零日(0Day)漏洞。 360已经把这个高危漏洞同步报送至国家信息安全漏洞共享平台(CNVD)。 Peter的回信确认了由360团队独家发现的OpenClaw Gateway WebSocket无认证升级漏洞。 这次事件标志着国内团队已经具备核心链路风险识别能力。 3月23日这天,360安全云团队收到OpenClaw创始人Peter的正式邮件。 这一漏洞也再次提醒行业:随着智能体从“对话工具”走向“执行系统”。 攻击者就可以通过WebSocket偷偷绕过权限认证来获取智能体网关控制权。 如果任由这种情况发展下去,后果不堪设想。 恶意Skill投毒、提示词注入以及行为缺乏审计机制都是需要重视的问题。