360集团创始人周鸿祎之前就提过,智能体时代得靠“以模治模”。因为现在智能体不仅能说话,还能执行任务,危险就从模型层转移到了接口、技能调用链和权限这些地方。公网暴露接口、恶意Skill投毒、提示词注入还有行为没审计,这些都成了行业的通病。 3月22日这天,360安全云团队收到了OpenClaw创始人Peter的信。他在回信里承认了,360团队独家挖出的那个OpenClaw Gateway WebSocket的无认证升级漏洞是真的。这漏洞属于零日级别,要是被坏人利用了,能悄无声息绕过权限认证,拿到智能体网关的控制权,把系统搞崩溃甚至死机。现在360已经把这个高危漏洞报告给了国家信息安全漏洞共享平台(CNVD),好帮全网尽快切断风险源头。 为了对抗这些新风险,360定下了“用AI监督AI”和“用Skill治理Skill”的策略。他们给企业和开发者推出了叫“360安全云·龙虾保”的工具,能精准找出运行环境里的漏洞和恶意Skill。给个人用户用的也有一体化解决方案“360安全龙虾”和里面的“360龙虾卫士”,通过隔离环境和严格控制权限来降低使用风险。 对于OpenClaw生态里的漏洞挖掘和修复支持,360安全云团队说会持续跟进下去。新浪科技这边在3月22日下午也把这消息发了出来。