近日，一則關(guān)于智能體安全領(lǐng)域的重大發(fā)現(xiàn)引發(fā)行業(yè)關(guān)注。360安全云團(tuán)隊在技術(shù)巡查中，成功識別出OpenClaw Gateway組件存在的WebSocket無認(rèn)證升級漏洞，這一發(fā)現(xiàn)已獲得項目創(chuàng)始人Peter的正式郵件確認(rèn)。

該漏洞被歸類為零日（0Day）高危漏洞，攻擊者可通過WebSocket協(xié)議繞過系統(tǒng)權(quán)限驗證機(jī)制，直接獲取智能體網(wǎng)關(guān)的控制權(quán)限。技術(shù)分析顯示，此類攻擊可能導(dǎo)致目標(biāo)系統(tǒng)出現(xiàn)資源耗盡、服務(wù)中斷甚至全面崩潰等嚴(yán)重后果。360安全團(tuán)隊在確認(rèn)漏洞后，第一時間向國家信息安全漏洞共享平臺（CNVD）提交了詳細(xì)技術(shù)報告，為全網(wǎng)系統(tǒng)升級防護(hù)提供關(guān)鍵支持。

隨著人工智能技術(shù)從基礎(chǔ)對話向復(fù)雜任務(wù)執(zhí)行演進(jìn)，智能體系統(tǒng)的安全邊界正在發(fā)生根本性變化。安全專家指出，當(dāng)前智能體應(yīng)用生態(tài)面臨四大新型風(fēng)險：暴露在公網(wǎng)環(huán)境的接口、惡意Skill代碼注入、提示詞操縱攻擊以及操作行為審計缺失。這些隱患如同"數(shù)字養(yǎng)蝦場"中的隱形漏洞，可能被不法分子利用實施大規(guī)模攻擊。

此次漏洞發(fā)現(xiàn)具有特殊意義——這是國內(nèi)安全團(tuán)隊首次在智能體核心執(zhí)行鏈路層實現(xiàn)風(fēng)險實質(zhì)性識別。行業(yè)觀察人士認(rèn)為，這標(biāo)志著我國在AI安全領(lǐng)域的技術(shù)積累已從模型層向系統(tǒng)層延伸，為快速發(fā)展的智能體應(yīng)用提供了關(guān)鍵安全保障。據(jù)360團(tuán)隊透露，他們正在開發(fā)自動化檢測工具，幫助開發(fā)者提前識別類似接口層漏洞。