360集团发现OpenClaw存在高风险漏洞,需谨防恶意Skill攻击。最近,360安全云团队收到OpenClaw创始人Peter的正式邮件,确认了他们发现的Gateway WebSocket无认证升级漏洞。这是一个零日漏洞,攻击者能利用WebSocket绕过权限认证控制智能体网关,导致系统资源耗尽或崩溃。OpenClaw的安全风险已延伸至模型层、接口层和权限层。公网暴露接口、恶意Skill投毒以及提示词注入成为“养虾”过程中的常见隐患。周鸿祎曾提出智能体时代应采用“以模治模”的策略,通过安全能力约束智能体运行。360已确立“用AI监督AI”的核心策略,推出了“360安全云·龙虾保”来识别和排查智能体应用中的风险。此外,360还为个人用户提供了“360安全龙虾”解决方案。 给企业和开发者的一体化解决方案是为了降低智能体本地使用的安全不确定性。给个人用户的“360龙虾卫士”通过隔离运行环境和严格权限控制来提升安全性。360安全云团队表示将继续支持OpenClaw生态的漏洞修复,推进智能体应用的实战防御。此次发现的漏洞已经被报送至国家信息安全漏洞共享平台CNVD,协助全网切断风险源头。为了更好地保护“养虾人”,360安全云还推出了针对个人用户的一体化解决方案和面向开发者的能力检测工具。