近日，一封來自OpenClaw創(chuàng)始人Peter的官方郵件引發(fā)網絡安全領域關注。郵件中，Peter正式確認了由360安全云團隊獨立發(fā)現(xiàn)的OpenClaw Gateway存在高危漏洞。該漏洞涉及WebSocket協(xié)議的無認證升級機制，屬于典型的零日（0Day）安全風險。

據(jù)技術分析，攻擊者可利用此漏洞繞過系統(tǒng)權限驗證，通過WebSocket通道直接獲取智能體網關的控制權限。這種隱蔽的攻擊方式不僅可能導致目標系統(tǒng)資源被惡意消耗，甚至可能引發(fā)整個服務架構的全面癱瘓。360安全團隊在發(fā)現(xiàn)漏洞后，已第一時間將詳細信息上報至國家信息安全漏洞共享平臺（CNVD），為行業(yè)防范風險爭取了寶貴時間。

隨著人工智能技術從基礎對話功能向復雜執(zhí)行系統(tǒng)演進，安全防護的邊界正在發(fā)生根本性變化。專家指出，當前智能體系統(tǒng)的安全威脅已從模型算法層快速蔓延至接口調用、技能組件和系統(tǒng)權限等核心鏈路。公網暴露的服務接口、缺乏審核的第三方技能組件、以及容易被注入惡意指令的交互接口，正在成為威脅智能體生態(tài)安全的三大薄弱環(huán)節(jié)。

此次漏洞確認具有特殊意義——它標志著國內安全研究機構在智能體執(zhí)行鏈路層的風險識別能力達到國際先進水平。360團隊通過構建完整的攻擊鏈模擬環(huán)境，成功復現(xiàn)了從權限繞過到系統(tǒng)控制的完整攻擊路徑，為行業(yè)提供了極具參考價值的防御范式。這種從底層協(xié)議到上層應用的系統(tǒng)性安全研究，正在重塑人工智能時代的安全防護標準。

安全業(yè)界普遍認為，隨著智能體在金融、醫(yī)療、工業(yè)控制等關鍵領域的深度應用，此類底層協(xié)議漏洞的危害性將呈指數(shù)級增長。建立覆蓋全生命周期的安全評估體系，已成為保障智能體技術健康發(fā)展的當務之急。此次事件再次提醒行業(yè)：在追求技術創(chuàng)新的同時，必須同步構建與之匹配的安全防御能力。