OpenClaw的开发者Peter给360团队写了封邮件,亲口承认是360先发现了一个超级高危的0Day漏洞。这是个Gateway里的WebSocket无认证漏洞,简直太危险了。黑客只要通过WebSocket这条通道,就能偷偷绕过权限检查,直接把智能体网关的控制权抢走。要是真被坏人利用上,系统资源很容易就被榨干,甚至彻底瘫痪,严重影响设备和系统的正常运行。 360拿到消息后,赶紧把这个漏洞告诉了国家信息安全漏洞共享平台CNVD。这样一来,全网就能赶紧排查风险、堵住源头,不让坏人有机可乘,好保护大家的安全。这次事件给智能体行业敲响了警钟,因为它们现在不仅是聊天工具,还变成了核心执行系统,安全风险不仅在模型层,还蔓延到了接口层、技能调用链和权限层。 公网上有一堆暴露的接口,恶意的Skill投毒、提示词注入还有行为没审计,这些问题在行业里都很常见。业内的人都说,开源项目创始人亲自确认漏洞这事儿说明国内的安全团队已经有本事在智能体核心执行链路里找出实质性的风险了。这也给现在发展这么快的智能体应用提供了重要的安全参考和防护方向,能帮着行业把安全底线给筑牢。