]4月7日,360漏洞挖掘智能體宣佈成功發現並上報了AI智能體OpenClaw的3項高價值安全漏洞,其中包括1個高危漏洞及2箇中危漏洞。目前,相關漏洞均已獲官方修復並公開披露。這一進展標誌着AI智能體在自動化安全審計領域實現了從傳統規則驅動向智能思維驅動的跨越,爲AI原生應用的安全治理提供了關鍵技術支撐。

此次發現的高危漏洞聚焦於本地腳本的審批與執行機制,攻擊者可通過篡改已通過審批的腳本內容實現代碼非法執行,進而控制用戶設備。兩處中危漏洞則分別涉及OAuth手動授權流程中的安全校驗參數複用,以及語音通話WebSocket數據處理中的資源管控缺陷。前者可能導致用戶Google服務賬號權限被接管,後者則可能引發系統資源耗盡導致的設備崩潰。這些漏洞直擊AI智能體核心運行機制,暴露出當前智能體在權限隔離與協議實現上的深層隱患。

據360方面介紹,該漏洞挖掘智能體體系已累計發現多款主流AI智能體的高價值漏洞。相比傳統掃描工具,該系統能夠模擬安全專家的攻防直覺,實現漏洞排查、驗證及復現的自動化,從而將人力價值釋放到更具創造力的風險研判領域。隨着AI智能體逐漸深入用戶業務流,此類由AI驅動的自動化漏洞挖掘技術將成爲保障AI產業鏈底層安全的關鍵基礎設施,推動行業構建更具韌性的安全防禦體系。