]4月7日,360漏洞挖掘智能体宣布成功发现并上报了AI智能体OpenClaw的3项高价值安全漏洞,其中包括1个高危漏洞及2个中危漏洞。目前,相关漏洞均已获官方修复并公开披露。这一进展标志着AI智能体在自动化安全审计领域实现了从传统规则驱动向智能思维驱动的跨越,为AI原生应用的安全治理提供了关键技术支撑。
此次发现的高危漏洞聚焦于本地脚本的审批与执行机制,攻击者可通过篡改已通过审批的脚本内容实现代码非法执行,进而控制用户设备。两处中危漏洞则分别涉及OAuth手动授权流程中的安全校验参数复用,以及语音通话WebSocket数据处理中的资源管控缺陷。前者可能导致用户Google服务账号权限被接管,后者则可能引发系统资源耗尽导致的设备崩溃。这些漏洞直击AI智能体核心运行机制,暴露出当前智能体在权限隔离与协议实现上的深层隐患。
据360方面介绍,该漏洞挖掘智能体体系已累计发现多款主流AI智能体的高价值漏洞。相比传统扫描工具,该系统能够模拟安全专家的攻防直觉,实现漏洞排查、验证及复现的自动化,从而将人力价值释放到更具创造力的风险研判领域。随着AI智能体逐渐深入用户业务流,此类由AI驱动的自动化漏洞挖掘技术将成为保障AI产业链底层安全的关键基础设施,推动行业构建更具韧性的安全防御体系。
