近日，一則關(guān)于網(wǎng)絡(luò)安全領(lǐng)域的重大發(fā)現(xiàn)引發(fā)關(guān)注。360安全云團隊在與OpenClaw創(chuàng)始人Peter的郵件溝通中，獲得對方正式確認——該團隊獨家發(fā)現(xiàn)了OpenClaw Gateway存在的WebSocket無認證升級漏洞。這一發(fā)現(xiàn)不僅凸顯了國內(nèi)安全團隊的技術(shù)實力，也為智能體應(yīng)用生態(tài)的安全防護敲響了警鐘。

據(jù)技術(shù)分析，該漏洞屬于典型的零日（0Day）漏洞，具有極高的危險性。攻擊者可通過WebSocket協(xié)議，在無需權(quán)限認證的情況下靜默滲透系統(tǒng)，直接獲取智能體網(wǎng)關(guān)的控制權(quán)。一旦成功利用，可能導(dǎo)致目標系統(tǒng)資源被惡意耗盡，甚至引發(fā)全面崩潰，對用戶數(shù)據(jù)和業(yè)務(wù)連續(xù)性構(gòu)成嚴重威脅。

發(fā)現(xiàn)漏洞后，360團隊迅速采取行動，將詳細技術(shù)信息同步報送至國家信息安全漏洞共享平臺（CNVD），協(xié)助全網(wǎng)及時切斷風(fēng)險傳播路徑。這一舉措體現(xiàn)了安全團隊的責(zé)任意識，也為行業(yè)應(yīng)對類似漏洞提供了參考范本。

隨著智能體從簡單的“對話工具”進化為復(fù)雜的“執(zhí)行系統(tǒng)”，其安全邊界正在從模型層向接口層、技能調(diào)用鏈及系統(tǒng)權(quán)限層快速擴展。公網(wǎng)暴露的接口、惡意Skill的投毒、提示詞注入攻擊，以及缺乏審計機制的行為記錄，已成為智能體應(yīng)用生態(tài)中普遍存在的安全隱患，亟待全行業(yè)重視。

業(yè)內(nèi)專家指出，此次漏洞獲得原作者確認，標志著國內(nèi)安全團隊在智能體核心執(zhí)行鏈路層的風(fēng)險識別能力已形成實質(zhì)性突破。這不僅為當前快速發(fā)展的智能體應(yīng)用提供了關(guān)鍵安全支撐，也提醒整個行業(yè)需構(gòu)建更完善的安全防護體系，以應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)攻擊威脅。