本報(bào)訊 (記者袁傳璽)近日����,360數(shù)字安全集團(tuán)依托自主研發(fā)的360多智能體協(xié)同漏洞挖掘系統(tǒng)(簡稱:360漏洞挖掘智能體),在GitHub斬獲34萬星的OpenClaw平臺(tái)中成功發(fā)現(xiàn)一處高危漏洞——MEDIA協(xié)議Prompt注入繞過工具權(quán)限泄露本地文件漏洞�����。該漏洞被國家信息安全漏洞庫(CNNVD)正式確認(rèn)���,影響范圍覆蓋全球50多個(gè)國家和地區(qū)�����,超17萬個(gè)可公開訪問的OpenClaw實(shí)例面臨安全風(fēng)險(xiǎn)�。這是繼此前360發(fā)現(xiàn)OpenClaw相關(guān)安全漏洞并獲OpenClaw創(chuàng)始人回信確認(rèn)后,在智能體漏洞挖掘領(lǐng)域的又一次突破����,彰顯了360在全球AI智能體安全領(lǐng)域的技術(shù)領(lǐng)先性。
據(jù)360安全專家介紹�����,本次發(fā)現(xiàn)的高危漏洞存在于OpenClaw2026.3.13版本的核心媒體處理模塊����,兼具攻擊門檻低�、影響范圍廣、危害程度大三大顯著特征��。該漏洞的核心風(fēng)險(xiǎn)在于�����,MEDIA協(xié)議運(yùn)行于輸出后處理層��,可完全繞過平臺(tái)工具策略控制,即便Agent禁用所有工具調(diào)用�,攻擊者僅憑群聊基礎(chǔ)成員權(quán)限即可發(fā)起攻擊,直接竊取服務(wù)器敏感信息��,極易引發(fā)后續(xù)網(wǎng)絡(luò)攻擊��。
針對該漏洞��,360已獨(dú)立完成漏洞攻擊鏈的驗(yàn)證與實(shí)測�,充分確認(rèn)其真實(shí)性與可利用性,并為平臺(tái)方修復(fù)提供專業(yè)技術(shù)支持與修復(fù)建議���。
當(dāng)行業(yè)多數(shù)漏洞掃描工具仍停留在規(guī)則被動(dòng)掃描階段��,360漏洞挖掘智能體已實(shí)現(xiàn)關(guān)鍵突破����,推動(dòng)漏洞挖掘從“規(guī)則驅(qū)動(dòng)”向“智能思維驅(qū)動(dòng)”躍遷�����。在本次OpenClaw漏洞挖掘中�����,系統(tǒng)由觀察者智能體統(tǒng)一調(diào)度,攻擊面分析����、AI代碼審計(jì)、動(dòng)態(tài)滲透等專業(yè)智能體協(xié)同作業(yè)�,形成標(biāo)準(zhǔn)化、閉環(huán)化的漏洞挖掘體系����。其中,攻擊面分析智能體鎖定業(yè)務(wù)所有入口��,規(guī)則引擎精準(zhǔn)錨定危險(xiǎn)錨點(diǎn)�;AI代碼審計(jì)智能體穿透跨文件����、跨模塊復(fù)雜調(diào)用鏈,精準(zhǔn)發(fā)現(xiàn)傳統(tǒng)工具難以觸及的隱藏漏洞�����。
未來���,360將持續(xù)升級(jí)AI漏洞挖掘技術(shù)能力�����,積極推動(dòng)安全智能體在更多新興領(lǐng)域規(guī)?��;涞?����,護(hù)航智能經(jīng)濟(jì)時(shí)代AI產(chǎn)業(yè)高質(zhì)量發(fā)展��。
(編輯 張偉)
京公網(wǎng)安備 11010602201377號(hào)京ICP備19002521號(hào)