記者3月31日獲悉�����,360數(shù)字安全集團依托自主研發(fā)的360多智能體協(xié)同漏洞挖掘系統(tǒng),在GitHub斬獲34萬星的OpenClaw平臺中成功發(fā)現(xiàn)一處高危漏洞——MEDIA協(xié)議Prompt注入繞過工具權(quán)限泄露本地文件漏洞。
該漏洞被國家信息安全漏洞庫(CNNVD)正式確認(rèn)�,影響范圍覆蓋全球50多個國家和地區(qū)�����,超17萬個可公開訪問的OpenClaw實例面臨安全風(fēng)險�����。
這是繼此前360發(fā)現(xiàn)OpenClaw相關(guān)安全漏洞并獲OpenClaw創(chuàng)始人回信確認(rèn)后�����,在智能體漏洞挖掘領(lǐng)域的又一次突破�����。
據(jù)360安全專家介紹�����,本次發(fā)現(xiàn)的高危漏洞存在于OpenClaw 2026.3.13版本的核心媒體處理模塊�,兼具攻擊門檻低、影響范圍廣�、危害程度大三大顯著特征。該漏洞的核心風(fēng)險在于�����,MEDIA協(xié)議運行于輸出后處理層�����,可完全繞過平臺工具策略控制�����,即便Agent禁用所有工具調(diào)用�,攻擊者僅憑群聊基礎(chǔ)成員權(quán)限即可發(fā)起攻擊,直接竊取服務(wù)器敏感信息�,極易引發(fā)后續(xù)網(wǎng)絡(luò)攻擊。
針對該漏洞�,360已獨立完成漏洞攻擊鏈的驗證與實測,充分確認(rèn)其真實性與可利用性,并為平臺方修復(fù)提供專業(yè)技術(shù)支持與修復(fù)建議�。
周鴻祎曾對黑客智能體時代安全趨勢做出判斷。當(dāng)前�����,大模型已進化為可獨立思考�����、熟練使用工具的智能體�����,徹底改寫安全行業(yè)規(guī)則�。一方面,傳統(tǒng)安全依賴規(guī)則匹配與人工審查�����,難以發(fā)現(xiàn)隱蔽高危漏洞�����,安全專家稀缺導(dǎo)致“發(fā)現(xiàn)難�、修復(fù)慢”�;另一方面�,黑客智能體可7×24小時自動攻擊,攻防從“人與人對抗”升級為“人與機器的不對稱對抗”�����;同時AI自身漏洞與注入風(fēng)險�,可能讓數(shù)字威脅向物理世界蔓延�����。
據(jù)悉�,360通過具備自動感知、研判�����、響應(yīng)能力的安全智能體構(gòu)建主動防御體系�,精準(zhǔn)應(yīng)對黑客智能體威脅。當(dāng)行業(yè)多數(shù)漏洞掃描工具仍停留在規(guī)則被動掃描階段�����,360漏洞挖掘智能體已實現(xiàn)關(guān)鍵突破�����,推動漏洞挖掘從“規(guī)則驅(qū)動”向“智能思維驅(qū)動”躍遷。
在本次OpenClaw漏洞挖掘中�����,系統(tǒng)由觀察者智能體統(tǒng)一調(diào)度�,攻擊面分析、AI代碼審計�����、動態(tài)滲透等專業(yè)智能體協(xié)同作業(yè)�,形成標(biāo)準(zhǔn)化、閉環(huán)化的漏洞挖掘體系�����。其中�,攻擊面分析智能體鎖定業(yè)務(wù)所有入口,規(guī)則引擎精準(zhǔn)錨定危險錨點�����;AI代碼審計智能體穿透跨文件�����、跨模塊復(fù)雜調(diào)用鏈,精準(zhǔn)發(fā)現(xiàn)傳統(tǒng)工具難以觸及的隱藏漏洞�。
公司表示,未來360將持續(xù)升級AI漏洞挖掘技術(shù)能力�,積極推動安全智能體在更多新興領(lǐng)域規(guī)模化落地�����,護航智能經(jīng)濟時代AI產(chǎn)業(yè)高質(zhì)量發(fā)展�����。
聲明:證券時報力求信息真實�����、準(zhǔn)確�����,文章提及內(nèi)容僅供參考�,不構(gòu)成實質(zhì)性投資建議,據(jù)此操作風(fēng)險自擔(dān)
下載"證券時報"官方APP�����,或關(guān)注官方微信公眾號�,即可隨時了解股市動態(tài),洞察政策信息�,把握財富機會。
