近日，360數(shù)字安全集團在網(wǎng)絡(luò)安全領(lǐng)域取得重大突破，其自主研發(fā)的360多智能體協(xié)同漏洞挖掘系統(tǒng)（簡稱360漏洞挖掘智能體）在GitHub熱門平臺OpenClaw中成功識別出一處高危漏洞。該漏洞被命名為"MEDIA協(xié)議Prompt注入繞過工具權(quán)限泄露本地文件漏洞"，已獲得國家信息安全漏洞庫（CNNVD）的正式確認。據(jù)統(tǒng)計，全球超過50個國家和地區(qū)的17萬余個公開訪問的OpenClaw實例均面臨安全威脅，這一發(fā)現(xiàn)再次證明了360在智能體安全技術(shù)領(lǐng)域的領(lǐng)先地位。

360安全專家團隊深入分析后指出，該漏洞存在于OpenClaw 2026.3.13版本的核心媒體處理模塊，具有攻擊門檻低、影響范圍廣、危害程度高等特點。其特殊之處在于MEDIA協(xié)議運行于輸出后處理層，能夠完全繞過平臺現(xiàn)有的工具策略控制機制。這意味著即使Agent禁用了所有工具調(diào)用功能，攻擊者仍可利用群聊基礎(chǔ)成員權(quán)限發(fā)起攻擊，直接竊取服務(wù)器敏感數(shù)據(jù)，為后續(xù)網(wǎng)絡(luò)攻擊創(chuàng)造條件。這種攻擊方式顯著降低了傳統(tǒng)安全防護體系的有效性。

在漏洞發(fā)現(xiàn)過程中，360團隊完成了完整的攻擊鏈驗證與實測工作，確認了漏洞的真實性與可利用性，并向平臺方提供了專業(yè)的修復方案和技術(shù)支持。這一成果與360集團創(chuàng)始人周鴻祎此前在全國兩會提案中的判斷高度吻合。他當時指出，隨著大模型進化為具備獨立思考和工具使用能力的智能體，安全行業(yè)正經(jīng)歷根本性變革：傳統(tǒng)規(guī)則匹配與人工審查方式難以應(yīng)對隱蔽高危漏洞，安全專家短缺導致"發(fā)現(xiàn)難、修復慢"的問題日益突出；同時黑客智能體可實現(xiàn)全天候自動攻擊，使攻防對抗從"人與人"升級為"人與機器"的不對稱較量。

面對這些挑戰(zhàn)，360憑借十余年在安全領(lǐng)域的深耕積累，將AI技術(shù)深度融入安全防護體系，開發(fā)出漏洞處置、攻擊溯源等系列安全智能體，并在關(guān)鍵信息基礎(chǔ)設(shè)施等領(lǐng)域?qū)崿F(xiàn)應(yīng)用。這些智能體具備自動感知、研判和響應(yīng)能力，能夠構(gòu)建主動防御體系，有效應(yīng)對黑客智能體帶來的威脅。與傳統(tǒng)規(guī)則被動掃描工具不同，360漏洞挖掘智能體實現(xiàn)了從"規(guī)則驅(qū)動"到"智能思維驅(qū)動"的技術(shù)躍遷。

在本次OpenClaw漏洞挖掘過程中，系統(tǒng)采用標準化作業(yè)流程：觀察者智能體負責整體調(diào)度，攻擊面分析、AI代碼審計、動態(tài)滲透等專業(yè)智能體協(xié)同工作。其中攻擊面分析智能體可全面鎖定業(yè)務(wù)入口，通過規(guī)則引擎精準定位危險點；AI代碼審計智能體則能穿透復雜的跨文件、跨模塊調(diào)用鏈，發(fā)現(xiàn)傳統(tǒng)工具難以察覺的隱藏漏洞。這種協(xié)作模式將高級安全專家的攻防經(jīng)驗轉(zhuǎn)化為智能體的標準化操作能力，顯著提升了漏洞發(fā)現(xiàn)效率。