本報訊 （記者袁傳璽）近日，360數(shù)字安全集團依托自主研發(fā)的360多智能體協(xié)同漏洞挖掘系統(tǒng)（簡稱：360漏洞挖掘智能體），在GitHub斬獲34萬星的OpenClaw平臺中成功發(fā)現(xiàn)一處高危漏洞——MEDIA協(xié)議Prompt注入繞過工具權限泄露本地文件漏洞。該漏洞被國家信息安全漏洞庫（CNNVD）正式確認，影響范圍覆蓋全球50多個國家和地區(qū)，超17萬個可公開訪問的OpenClaw實例面臨安全風險。這是繼此前360發(fā)現(xiàn)OpenClaw相關安全漏洞并獲OpenClaw創(chuàng)始人回信確認后，在智能體漏洞挖掘領域的又一次突破，彰顯了360在全球AI智能體安全領域的技術領先性。

    據(jù)360安全專家介紹，本次發(fā)現(xiàn)的高危漏洞存在于OpenClaw2026.3.13版本的核心媒體處理模塊，兼具攻擊門檻低、影響范圍廣、危害程度大三大顯著特征。該漏洞的核心風險在于，MEDIA協(xié)議運行于輸出后處理層，可完全繞過平臺工具策略控制，即便Agent禁用所有工具調(diào)用，攻擊者僅憑群聊基礎成員權限即可發(fā)起攻擊，直接竊取服務器敏感信息，極易引發(fā)后續(xù)網(wǎng)絡攻擊。

    針對該漏洞，360已獨立完成漏洞攻擊鏈的驗證與實測，充分確認其真實性與可利用性，并為平臺方修復提供專業(yè)技術支持與修復建議。

    當行業(yè)多數(shù)漏洞掃描工具仍停留在規(guī)則被動掃描階段，360漏洞挖掘智能體已實現(xiàn)關鍵突破，推動漏洞挖掘從“規(guī)則驅(qū)動”向“智能思維驅(qū)動”躍遷。在本次OpenClaw漏洞挖掘中，系統(tǒng)由觀察者智能體統(tǒng)一調(diào)度，攻擊面分析、AI代碼審計、動態(tài)滲透等專業(yè)智能體協(xié)同作業(yè)，形成標準化、閉環(huán)化的漏洞挖掘體系。其中，攻擊面分析智能體鎖定業(yè)務所有入口，規(guī)則引擎精準錨定危險錨點；AI代碼審計智能體穿透跨文件、跨模塊復雜調(diào)用鏈，精準發(fā)現(xiàn)傳統(tǒng)工具難以觸及的隱藏漏洞。

    未來，360將持續(xù)升級AI漏洞挖掘技術能力，積極推動安全智能體在更多新興領域規(guī)?；涞兀o航智能經(jīng)濟時代AI產(chǎn)業(yè)高質(zhì)量發(fā)展。

（編輯 張偉）