OpenClaw的头儿Peter确认了他们的Gateway里有个高危的WebSocket认证绕过漏洞,这事儿挺严重,能让坏人直接拿到系统的完全控制权。360团队把这个漏洞归类为零日漏洞,觉得它能导致资源耗尽或者服务停摆。360已经把详情给了CNVD,就是为了帮行业把风险管住。随着人工智能不光是聊天工具了,变得越来越复杂,安全威胁也从模型层跑到了接口和权限层面。大家都在说公网接口暴露、恶意技能植入这些问题特别多。之前周鸿祎提过要“以模治模”,就是要用技术盯住智能体的整个生命周期。针对这些问题,360搞了个“双轨制”。企业那边的“龙虾保”平台能扫描环境,找出接口暴露的地方和恶意技能库;个人用户用“龙虾卫士”,通过隔离技术和权限控制来降低风险。360还会持续研究OpenClaw生态的安全问题,建立一个发现-验证-修复的循环机制。接下来他们还要主攻接口防护和技能库审计这些关键技术。相关的工具已经给开发者开放了申请通道,个人用户的方案也已经在全平台覆盖了。