近日,360数字安全集团利用其自主研发的360多智能体协同漏洞挖掘系统,在GitHub上拥有超过34万星标的热门开源项目OpenClaw平台中,成功识别出一个高危安全漏洞。该漏洞被定义为“MEDIA协议Prompt注入绕过工具权限泄露本地文件漏洞”,并已获得国家信息安全漏洞库(CNNVD)的正式确认。其影响范围波及全球50多个国家和地区,超过17万个可公开访问的OpenClaw实例面临潜在风险。这不仅是继之前360报告相关安全问题并获得OpenClaw创始人确认后的又一成果,也进一步展示了其在AI智能体安全攻防领域的技术实力。
根据360安全专家的分析,此次发现的高危漏洞存在于OpenClaw 2026.3.13版本的核心媒体处理模块。该漏洞具备三大显著特征:攻击门槛低、影响范围广、危害程度大。其核心风险在于,MEDIA协议运行于输出后处理层,能够完全绕过平台原有的工具调用策略控制。这意味着,即便某个Agent被禁用了所有工具调用权限,攻击者仅凭基础的群聊成员身份即可发起攻击,直接窃取服务器上的敏感文件信息,极易为后续更深入的网络攻击打开缺口。
针对此漏洞,360安全团队已独立完成了整个攻击链的验证与实测,充分确认了其真实存在性和可利用性,并向平台方提供了专业的技术支持与修复建议。
此次OpenClaw高危漏洞的发现,恰好印证了360集团创始人周鸿祎在2026年全国两会提案中对未来安全趋势的前瞻性判断。他指出,大模型已进化成能够独立思考并熟练使用工具的智能体,这正在彻底改写安全行业的规则。传统安全防御依赖规则匹配与人工审查,难以发现隐蔽的高危漏洞,加之安全专家稀缺,导致“发现难、修复慢”成为常态。另一方面,黑客利用的智能体可以实现7×24小时不间断的自动化攻击,使得攻防对抗从“人与人”升级为“人与机器”的不对称较量。同时,AI自身的漏洞与注入风险,可能让数字世界的威胁向物理世界蔓延。
面对这些行业性挑战,360基于十余年的安全领域深耕,深度融合AI技术,打造了涵盖漏洞处置、攻击溯源等一系列安全智能体,并在关键信息基础设施等领域实现了落地应用。通过构建具备自动感知、研判、响应能力的主动防御体系,来精准应对来自黑客智能体的新型威胁。
当行业内多数漏洞扫描工具仍停留在基于规则的被动扫描阶段时,360的漏洞挖掘智能体已经实现了关键突破,推动漏洞挖掘从“规则驱动”向“智能思维驱动”跃迁。在本次针对OpenClaw的漏洞挖掘任务中,系统由观察者智能体统一调度,攻击面分析、AI代码审计、动态渗透等专业智能体协同作业,形成了一套标准化、闭环化的高效挖掘体系。其中,攻击面分析智能体负责锁定业务所有潜在入口,并由规则引擎精准锚定危险锚点;AI代码审计智能体则能穿透跨文件、跨模块的复杂调用链,精准定位传统工具难以触及的隐藏漏洞。
整个挖掘过程将高级安全专家的攻防经验,转化为了智能体的标准化作业能力,实现了从漏洞发现、验证到解决方案输出的高效推进,从而精准且快速地定位了OpenClaw平台中的高价值安全漏洞。
未来,360表示将持续升级AI漏洞挖掘技术能力,积极推动安全智能体在更多新兴领域的规模化落地,为智能经济时代AI产业的高质量发展保驾护航。对于关注AI安全与漏洞挖掘技术的开发者而言,可以持续在云栈社区等专业平台交流相关进展与实战经验。 | 
发表于 1 小时前
|
查看: 2|
回复: 0
