近日,360公司自主研發的漏洞挖掘智能體在安全領域取得重要突破,成功識別并上報了知名AI智能體OpenClaw存在的三項安全缺陷,其中包括一項高危漏洞和兩項中危漏洞。目前,相關技術團隊已完成修復工作,漏洞細節已通過官方渠道向公眾披露。這一發現不僅驗證了AI技術在安全審計中的創新應用,更為智能體生態系統的安全防護提供了新型解決方案。
據技術分析報告顯示,高危漏洞存在于本地腳本的審批執行環節。攻擊者可通過篡改已通過安全審查的腳本內容,繞過系統防護機制,實現惡意代碼的非法執行,最終達到控制用戶設備的目的。兩項中危漏洞則分別涉及OAuth授權流程和語音通信協議:前者因安全校驗參數被重復使用,可能導致用戶Google賬號權限被非法接管;后者由于WebSocket數據處理存在資源管理缺陷,可能引發系統資源過度消耗,最終導致設備服務中斷。
這些安全缺陷直指AI智能體的核心運行邏輯,暴露出當前智能體在權限隔離機制和通信協議實現方面存在的系統性風險。特別是OAuth授權流程的參數復用問題,反映出部分開發者在實現第三方服務集成時,對安全校驗環節的設計存在認知盲區。而語音通信協議的資源管控缺陷,則凸顯了實時數據處理場景下安全防護的復雜性。
360安全團隊介紹,其研發的智能體漏洞挖掘系統已形成完整的技術閉環。該系統通過模擬人類安全專家的攻防思維模式,構建了包含漏洞探測、攻擊驗證、影響評估在內的自動化處理流程。與傳統安全掃描工具相比,該系統能夠更精準地識別復雜業務場景下的隱蔽漏洞,將安全人員從重復性勞動中解放出來,使其能夠專注于高階安全策略的制定。
隨著AI智能體在金融、醫療、工業控制等關鍵領域的深入應用,此類基于AI技術的自動化安全審計工具正成為保障智能體生態安全的重要基礎設施。360團隊表示,將持續優化漏洞挖掘算法,提升對新型攻擊技術的識別能力,同時推動建立智能體安全開發標準,助力行業構建更具彈性的安全防護體系。
