近日,一则关于网络安全领域的重大发现引发关注。360安全云团队在与OpenClaw创始人Peter的邮件沟通中,获得对方正式确认——该团队独家发现了OpenClaw Gateway存在的WebSocket无认证升级漏洞。这一发现不仅凸显了国内安全团队的技术实力,也为智能体应用生态的安全防护敲响了警钟。
据技术分析,该漏洞属于典型的零日(0Day)漏洞,具有极高的危险性。攻击者可通过WebSocket协议,在无需权限认证的情况下静默渗透系统,直接获取智能体网关的控制权。一旦成功利用,可能导致目标系统资源被恶意耗尽,甚至引发全面崩溃,对用户数据和业务连续性构成严重威胁。
发现漏洞后,360团队迅速采取行动,将详细技术信息同步报送至国家信息安全漏洞共享平台(CNVD),协助全网及时切断风险传播路径。这一举措体现了安全团队的责任意识,也为行业应对类似漏洞提供了参考范本。
随着智能体从简单的“对话工具”进化为复杂的“执行系统”,其安全边界正在从模型层向接口层、技能调用链及系统权限层快速扩展。公网暴露的接口、恶意Skill的投毒、提示词注入攻击,以及缺乏审计机制的行为记录,已成为智能体应用生态中普遍存在的安全隐患,亟待全行业重视。
业内专家指出,此次漏洞获得原作者确认,标志着国内安全团队在智能体核心执行链路层的风险识别能力已形成实质性突破。这不仅为当前快速发展的智能体应用提供了关键安全支撑,也提醒整个行业需构建更完善的安全防护体系,以应对日益复杂的网络攻击威胁。
