近日,一则关于智能体安全领域的重大发现引发行业关注。360安全云团队在技术巡查中,成功识别出OpenClaw Gateway组件存在的WebSocket无认证升级漏洞,这一发现已获得项目创始人Peter的正式邮件确认。
该漏洞被归类为零日(0Day)高危漏洞,攻击者可通过WebSocket协议绕过系统权限验证机制,直接获取智能体网关的控制权限。技术分析显示,此类攻击可能导致目标系统出现资源耗尽、服务中断甚至全面崩溃等严重后果。360安全团队在确认漏洞后,第一时间向国家信息安全漏洞共享平台(CNVD)提交了详细技术报告,为全网系统升级防护提供关键支持。
随着人工智能技术从基础对话向复杂任务执行演进,智能体系统的安全边界正在发生根本性变化。安全专家指出,当前智能体应用生态面临四大新型风险:暴露在公网环境的接口、恶意Skill代码注入、提示词操纵攻击以及操作行为审计缺失。这些隐患如同"数字养虾场"中的隐形漏洞,可能被不法分子利用实施大规模攻击。
此次漏洞发现具有特殊意义——这是国内安全团队首次在智能体核心执行链路层实现风险实质性识别。行业观察人士认为,这标志着我国在AI安全领域的技术积累已从模型层向系统层延伸,为快速发展的智能体应用提供了关键安全保障。据360团队透露,他们正在开发自动化检测工具,帮助开发者提前识别类似接口层漏洞。
