本報訊 (記者袁傳璽)近期���,360漏洞挖掘智能體持續(xù)深耕AI智能體安全領域��,針對OpenClaw成功新挖掘并上報1個高危����、2個中危共3個高價值漏洞,目前所有新發(fā)現(xiàn)漏洞均已被官方修復并公開披露�����,以硬核實戰(zhàn)成果落地“以模治模”“用AI監(jiān)管AI”的安全理念�。
此次新發(fā)現(xiàn)的三大漏洞均直指AI智能體核心運行機制�����,安全風險直接影響用戶設備����、數(shù)據(jù)與賬號的核心安全,危害清晰且直觀��。其中�����,高危漏洞存在于本地腳本審批與執(zhí)行環(huán)節(jié),系統(tǒng)僅對腳本審批狀態(tài)進行判斷��,未校驗腳本內(nèi)容是否被篡改,攻擊者可在腳本通過審批后惡意替換代碼����,進而在用戶電腦上執(zhí)行非法操作�,實現(xiàn)信息竊取����、文件修改甚至整機控制��;一處中危漏洞藏于OAuth手動粘貼授權(quán)流程���,因開發(fā)者將本地私密安全校驗參數(shù)直接復用為公開參數(shù)����,關鍵校驗信息會隨回調(diào)URL泄露,攻擊者可通過剪貼板�����、網(wǎng)絡代理等方式竊取該信息����,輕松獲取訪問令牌并接管用戶關聯(lián)的Google服務�,對用戶賬號安全與數(shù)據(jù)隱私形成嚴重威脅��;另一處中危漏洞則出現(xiàn)在語音通話WebSocket數(shù)據(jù)處理流程��,系統(tǒng)未提前校驗數(shù)據(jù)合法性便直接處理超大數(shù)據(jù)包��,攻擊者可通過發(fā)送海量大數(shù)據(jù)包耗盡系統(tǒng)資源�,造成設備卡頓�����、崩潰����,導致正常服務無法使用。
當前�����,AI智能體快速普及�,網(wǎng)絡攻防已邁入“智能體對抗智能體”的全新階段�,AI應用自身安全成為數(shù)字安全的核心挑戰(zhàn)。360依托十余年網(wǎng)絡安全實戰(zhàn)積累與AI技術深度融合���,打造出行業(yè)領先的漏洞挖掘智能體體系,已累計發(fā)現(xiàn)多款主流AI智能體的高價值安全漏洞�。
三大漏洞的連續(xù)發(fā)現(xiàn)與上報,不僅體現(xiàn)了360漏洞挖掘智能體的超高效率與精準度�����,更重新定義了AI時代漏洞挖掘的核心價值�����。
區(qū)別于傳統(tǒng)規(guī)則式漏洞掃描工具��,360漏洞挖掘智能體實現(xiàn)了從規(guī)則驅(qū)動到智能思維驅(qū)動的跨越���,可精準識別AI智能體中授權(quán)邏輯缺陷�����、資源管控漏洞����、協(xié)議實現(xiàn)風險等深層隱患�����。而其更具里程碑意義的價值在于:讓安全研究員沉淀多年的攻防直覺與領域經(jīng)驗,第一次擁有了可沉淀���、可復用、可持續(xù)進化的數(shù)字化載體�。過去大量重復、機械的漏洞排查�、驗證、復現(xiàn)等基礎工作����,如今可交由漏洞挖掘智能體高效完成����,安全專家得以從繁瑣的重復性勞動中解放��,回歸到最具創(chuàng)造力的攻防研究�、規(guī)則設計����、風險研判核心戰(zhàn)場����,真正實現(xiàn)人力價值與技術能力的最大化釋放。
這正是“用AI監(jiān)管AI”的核心落地:以安全智能體對抗AI智能體的潛在風險�,用AI補齊新一代AI應用的安全短板,構(gòu)建“機器高效執(zhí)行�、專家專注創(chuàng)新”的全新安全作業(yè)模式�����。
未來����,360將持續(xù)升級漏洞挖掘智能體能力�����,聚焦AI智能體、大模型等新興安全領域���,深化“以模治模”理念�,以更精準�、高效的智能攻防體系�����,為AI智能體生態(tài)筑牢安全底座�,護航智能時代數(shù)字安全����。
(編輯 郭之宸)
京公網(wǎng)安備 11010602201377號京ICP備19002521號