“養(yǎng)蝦人”注意了!OpenClaw高危漏洞被確認(rèn)，小心被惡意Skill投毒

眾所周知，目前OpenClaw可謂是全球最熱的話題，國內(nèi)也有多家知名互聯(lián)網(wǎng)和科技企業(yè)推出了自家的“龍蝦”產(chǎn)品，助力用戶成為“養(yǎng)蝦人”。然而，不少權(quán)威互聯(lián)網(wǎng)安全機(jī)構(gòu)和業(yè)內(nèi)人士也對(duì)OpenClaw的安全性提出了建議和提醒。日前，據(jù)360安全云團(tuán)隊(duì)透露，目前已經(jīng)收到了OpenClaw創(chuàng)始人Peter的官方郵件，正式確認(rèn)了由360團(tuán)隊(duì)獨(dú)家發(fā)現(xiàn)的OpenClaw Gateway WebSocket無認(rèn)證升級(jí)漏洞。同時(shí)，360也表示，已將該高危漏洞同步報(bào)送至國家信息安全漏洞共享平臺(tái)(CNVD)，協(xié)助全網(wǎng)第一時(shí)間切斷風(fēng)險(xiǎn)源頭。

據(jù)悉，此次360團(tuán)隊(duì)獨(dú)家發(fā)現(xiàn)的OpenClaw Gateway WebSocket無認(rèn)證升級(jí)漏洞屬于零日(0Day)漏洞，攻擊者可利用該漏洞通過WebSocket靜默繞過權(quán)限認(rèn)證，獲取智能體網(wǎng)關(guān)控制權(quán)，進(jìn)而可能導(dǎo)致目標(biāo)系統(tǒng)資源耗盡或全面崩潰。其安全風(fēng)險(xiǎn)正從模型層快速延伸至接口層、技能調(diào)用鏈與系統(tǒng)權(quán)限層。公網(wǎng)暴露接口、惡意Skill投毒、提示詞注入以及行為缺乏審計(jì)機(jī)制，正在成為全行業(yè)“養(yǎng)蝦”過程中的共性隱患。此前，360集團(tuán)創(chuàng)始人周鴻祎就曾表示，智能體時(shí)代需要堅(jiān)持“以模治模”，通過安全能力對(duì)智能體運(yùn)行全過程進(jìn)行約束與監(jiān)測(cè)。

另據(jù)360方面透露，其已確立了“用AI監(jiān)督AI、以Skill治理Skill”的核心策略，并已面向企業(yè)與開發(fā)者推出智能體部署安全檢測(cè)與風(fēng)險(xiǎn)排查能力(即“360安全云·龍蝦保”)，對(duì)運(yùn)行環(huán)境暴露面、高危漏洞及惡意Skill引入風(fēng)險(xiǎn)進(jìn)行精準(zhǔn)識(shí)別。同時(shí)，360也上線了面向個(gè)人用戶的一體化解決方案“360安全龍蝦”及其內(nèi)置組件“360龍蝦衛(wèi)士”，通過隔離運(yùn)行環(huán)境與嚴(yán)格的權(quán)限控制機(jī)制，大幅降低智能體本地使用過程中的安全不確定性。此外，360安全云團(tuán)隊(duì)表示，未來360將持續(xù)跟進(jìn)OpenClaw生態(tài)的漏洞挖掘與修復(fù)支持，推進(jìn)智能體應(yīng)用的實(shí)戰(zhàn)化防御。