话说360安全云团队最近挖到了一个大雷,就是智能体网关里有个高危漏洞,把 OpenClaw 的创始人 Peter 都惊动了。Peter 给 360 发了信,白纸黑字确认了这件事,说他们发现的 OpenClaw Gateway WebSocket 无认证升级漏洞是个实打实的零日漏洞,危险程度非常高。这意味着攻击者只要用 WebSocket 协议,连个密码都不用输,就能神不知鬼不觉地把智能体网关的控制权抢到手。 这后果可严重了,拿到权限后,人家能把你的资源耗尽,甚至把系统搞瘫痪。好在 360 反应很快,第一时间就把这事通报给了国家信息安全漏洞共享平台(CNVD),就是想让全网赶紧止损。 现在的智能体技术发展太快了,功能从单纯聊天变成了能干活的系统,安全风险也就跟着变大了。以前大家还在担心模型的问题,现在接口、技能调用链、权限控制这些地方都出了毛病。公网上的接口被暴露、恶意 Skill 投毒、提示词注入攻击,还有行为没审计这些问题,几乎成了行业的通病。 这次 Peter 能主动承认这个漏洞,说明国内安全团队在智能体核心执行环节的风险识别能力确实强了不少。这不仅仅是一个漏洞的发现,更是证明了咱们在智能体安全这块有硬实力和技术水平。