涉及1高危，2中危！360再曝OpenClaw高價值漏洞

近期，360漏洞挖掘智能體持續深耕AI智能體安全領域，針對OpenClaw 成功新挖掘并上報1個高危、2個中危共3個高價值漏洞，目前所有新發現漏洞均已被官方修復并公開披露，以硬核實戰成果落地“以模治模”、“用AI監管AI”的安全理念。

此次新發現的三大漏洞均直指AI智能體核心運行機制，安全風險直接影響用戶設備、數據與賬號的核心安全，危害清晰且直觀。其中，高危漏洞存在于本地腳本審批與執行環節，系統僅對腳本審批狀態進行判斷，未校驗腳本內容是否被篡改，攻擊者可在腳本通過審批后惡意替換代碼，進而在用戶電腦上執行非法操作，實現信息竊取、文件修改甚至整機控制；一處中危漏洞藏于 OAuth 手動粘貼授權流程，因開發者將本地私密安全校驗參數直接復用為公開參數，關鍵校驗信息會隨回調 URL 泄露，攻擊者可通過剪貼板、網絡代理等方式竊取該信息，輕松獲取訪問令牌并接管用戶關聯的 Google 服務，對用戶賬號安全與數據隱私形成嚴重威脅；另一處中危漏洞則出現在語音通話WebSocket數據處理流程，系統未提前校驗數據合法性便直接處理超大數據包，攻擊者可通過發送海量大數據包耗盡系統資源，造成設備卡頓、崩潰，導致正常服務無法使用。

當前，AI智能體快速普及，網絡攻防已邁入“智能體對抗智能體”的全新階段，AI應用自身安全成為數字安全的核心挑戰。360依托十余年網絡安全實戰積累與AI技術深度融合，打造出行業領先的漏洞挖掘智能體體系，已累計發現多款主流AI智能體的高價值安全漏洞。

三大漏洞的連續發現與上報，不僅體現了360漏洞挖掘智能體的超高效率與精準度，更重新定義了AI時代漏洞挖掘的核心價值。

區別于傳統規則式漏洞掃描工具，360漏洞挖掘智能體實現了從規則驅動到智能思維驅動的跨越，可精準識別AI智能體中授權邏輯缺陷、資源管控漏洞、協議實現風險等深層隱患。而其更具里程碑意義的價值在于：讓安全研究員沉淀多年的攻防直覺與領域經驗，第一次擁有了可沉淀、可復用、可持續進化的數字化載體。過去大量重復、機械的漏洞排查、驗證、復現等基礎工作，如今可交由漏洞挖掘智能體高效完成，安全專家得以從繁瑣的重復性勞動中解放，回歸到最具創造力的攻防研究、規則設計、風險研判核心戰場，真正實現人力價值與技術能力的最大化釋放。

這正是“用AI監管AI”的核心落地：以安全智能體對抗AI智能體的潛在風險，用AI補齊新一代AI應用的安全短板，構建“機器高效執行、專家專注創新”的全新安全作業模式。

未來，360將持續升級漏洞挖掘智能體能力，聚焦AI智能體、大模型等新興安全領域，深化“以模治模”理念，以更精準、高效的智能攻防體系，為AI智能體生態筑牢安全底座，護航智能時代數字安全。