360安全云团队跟OpenClaw的创始人Peter聊得火热,还真给聊出成果来了。Peter给咱们发了回信,承认360团队发现的大问题——OpenClaw Gateway的WebSocket协议没做身份验证,这就叫无认证升级漏洞。这东西被归到了0Day那一类,非常危险。黑客只要用WebSocket发个消息,就能偷偷溜进智能体网关的后台,啥都不用管。要是他们拿到了控制权,就能把系统里的资源耗光,甚至让整个系统彻底崩溃。 360这边发现情况不妙,立马就把这个大消息报告给了国家信息安全漏洞共享平台CNVD。这招是为了帮大家伙儿赶紧把风险源头堵住,免得坏人拿去作恶。 现在智能体技术发展太快了,以前只是个聊天的工具,现在能干活了。这种变化让安全风险也跟着变大了。以前是模型层的问题,现在接口、调用链、权限层全有了隐患。比如把接口暴露在公网上、恶意Skill投毒、提示词被注入、还有行动不记录的问题,这都是大家都遇到的难题。 这次漏洞被官方确认了,挺有象征意义。业内的人都说,这说明咱们国内的安全团队已经摸到了智能体执行链条上的风险怎么看的门道了。这次发现的成果不光能给后面的智能体发展当个参考,也说明咱们国家在这个领域的技术水平确实过硬。