河南
快科技4月7日消息,360漏洞挖掘智能體近期成功挖掘并上報了OpenClaw的3個高價值漏洞,其中包含1個高危、2個中危,目前這些漏洞都已經被官方修復并公開披露了。
這三個漏洞都直擊OpenClaw的核心運行機制,會直接影響用戶設備、數據和賬號的核心安全。
其中的高危漏洞出在本地腳本審批執行環節,系統只看審批狀態,不校驗腳本內容是否被改,攻擊者能在審批后替換代碼,進而在用戶電腦上執行非法操作,甚至實現整機控制、信息竊取。
兩個中危漏洞也各有隱患,一個在OAuth授權流程里,私密校驗參數被當成公開參數用,關鍵信息會隨回調URL泄露,攻擊者能借此竊取訪問令牌,接管用戶的谷歌相關服務。
另一個在語音通話的WebSocket數據處理環節,系統沒校驗數據合法性就處理超大數據包,攻擊者可發送海量數據包耗盡系統資源,讓設備卡頓、崩潰。
這次漏洞挖掘,是360靠漏洞挖掘智能體完成的,這也是其"用AI監管AI""以模治模"安全理念的實際落地。
這款智能體和傳統的漏洞掃描工具不一樣,不靠規則驅動,而是靠智能思維驅動,能精準識別AI智能體的深層安全隱患,還能把安全研究員的攻防經驗數字化、可復用。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
