3月22日,记者从360这边了解到了一件大事。360安全云团队给OpenClaw创始人Peter发了邮件,还真回了信。在信里,Peter承认是360独家发现了OpenClaw Gateway的一个超级大漏洞。这次的漏洞涉及WebSocket无认证升级,其实就是一种零日(0Day)漏洞。黑客要是盯上了这个漏洞,就能通过WebSocket悄无声息地绕开权限认证,把智能体网关的控制权抢走。控制了网关,他们就能搞垮目标系统或者让系统资源耗尽。 这事儿说明,现在智能体已经不是单纯的对话工具了,变成了执行系统。安全风险也不光停留在模型层了,接口层、技能调用链和系统权限层都面临威胁。公网暴露接口、恶意Skill投毒、提示词注入,这些都是智能体生态里大家共同面临的问题。 360集团创始人周鸿祎之前就说过,智能体时代需要“以模治模”,用安全能力来管住智能体的一举一动。360搞了一套策略,用AI监督AI,用Skill治理Skill。他们还推出了针对企业和开发者的“360安全云·龙虾保”,帮大家检测运行环境和排查风险。 为了降低个人用户用智能体时的安全风险,360还上线了“360安全龙虾”,里面有个组件叫“360龙虾卫士”,能隔离运行环境并严格控制权限。业内人士觉得这次漏洞被原作者邮件确认是个好兆头,说明国内的安全团队已经在智能体核心执行链路层具备了识别风险的能力了。360也说了未来还会持续关注OpenClaw生态的漏洞挖掘和修复支持。