本報(bào)訊 （記者袁傳璽）近期，360漏洞挖掘智能體持續(xù)深耕AI智能體安全領(lǐng)域，針對(duì)OpenClaw成功新挖掘并上報(bào)1個(gè)高危、2個(gè)中危共3個(gè)高價(jià)值漏洞，目前所有新發(fā)現(xiàn)漏洞均已被官方修復(fù)并公開披露，以硬核實(shí)戰(zhàn)成果落地“以模治模”“用AI監(jiān)管AI”的安全理念。

    此次新發(fā)現(xiàn)的三大漏洞均直指AI智能體核心運(yùn)行機(jī)制，安全風(fēng)險(xiǎn)直接影響用戶設(shè)備、數(shù)據(jù)與賬號(hào)的核心安全，危害清晰且直觀。其中，高危漏洞存在于本地腳本審批與執(zhí)行環(huán)節(jié)，系統(tǒng)僅對(duì)腳本審批狀態(tài)進(jìn)行判斷，未校驗(yàn)?zāi)_本內(nèi)容是否被篡改，攻擊者可在腳本通過審批后惡意替換代碼，進(jìn)而在用戶電腦上執(zhí)行非法操作，實(shí)現(xiàn)信息竊取、文件修改甚至整機(jī)控制；一處中危漏洞藏于OAuth手動(dòng)粘貼授權(quán)流程，因開發(fā)者將本地私密安全校驗(yàn)參數(shù)直接復(fù)用為公開參數(shù)，關(guān)鍵校驗(yàn)信息會(huì)隨回調(diào)URL泄露，攻擊者可通過剪貼板、網(wǎng)絡(luò)代理等方式竊取該信息，輕松獲取訪問令牌并接管用戶關(guān)聯(lián)的Google服務(wù)，對(duì)用戶賬號(hào)安全與數(shù)據(jù)隱私形成嚴(yán)重威脅；另一處中危漏洞則出現(xiàn)在語音通話WebSocket數(shù)據(jù)處理流程，系統(tǒng)未提前校驗(yàn)數(shù)據(jù)合法性便直接處理超大數(shù)據(jù)包，攻擊者可通過發(fā)送海量大數(shù)據(jù)包耗盡系統(tǒng)資源，造成設(shè)備卡頓、崩潰，導(dǎo)致正常服務(wù)無法使用。

    當(dāng)前，AI智能體快速普及，網(wǎng)絡(luò)攻防已邁入“智能體對(duì)抗智能體”的全新階段，AI應(yīng)用自身安全成為數(shù)字安全的核心挑戰(zhàn)。360依托十余年網(wǎng)絡(luò)安全實(shí)戰(zhàn)積累與AI技術(shù)深度融合，打造出行業(yè)領(lǐng)先的漏洞挖掘智能體體系，已累計(jì)發(fā)現(xiàn)多款主流AI智能體的高價(jià)值安全漏洞。

    三大漏洞的連續(xù)發(fā)現(xiàn)與上報(bào)，不僅體現(xiàn)了360漏洞挖掘智能體的超高效率與精準(zhǔn)度，更重新定義了AI時(shí)代漏洞挖掘的核心價(jià)值。

    區(qū)別于傳統(tǒng)規(guī)則式漏洞掃描工具，360漏洞挖掘智能體實(shí)現(xiàn)了從規(guī)則驅(qū)動(dòng)到智能思維驅(qū)動(dòng)的跨越，可精準(zhǔn)識(shí)別AI智能體中授權(quán)邏輯缺陷、資源管控漏洞、協(xié)議實(shí)現(xiàn)風(fēng)險(xiǎn)等深層隱患。而其更具里程碑意義的價(jià)值在于：讓安全研究員沉淀多年的攻防直覺與領(lǐng)域經(jīng)驗(yàn)，第一次擁有了可沉淀、可復(fù)用、可持續(xù)進(jìn)化的數(shù)字化載體。過去大量重復(fù)、機(jī)械的漏洞排查、驗(yàn)證、復(fù)現(xiàn)等基礎(chǔ)工作，如今可交由漏洞挖掘智能體高效完成，安全專家得以從繁瑣的重復(fù)性勞動(dòng)中解放，回歸到最具創(chuàng)造力的攻防研究、規(guī)則設(shè)計(jì)、風(fēng)險(xiǎn)研判核心戰(zhàn)場(chǎng)，真正實(shí)現(xiàn)人力價(jià)值與技術(shù)能力的最大化釋放。

    這正是“用AI監(jiān)管AI”的核心落地：以安全智能體對(duì)抗AI智能體的潛在風(fēng)險(xiǎn)，用AI補(bǔ)齊新一代AI應(yīng)用的安全短板，構(gòu)建“機(jī)器高效執(zhí)行、專家專注創(chuàng)新”的全新安全作業(yè)模式。

    未來，360將持續(xù)升級(jí)漏洞挖掘智能體能力，聚焦AI智能體、大模型等新興安全領(lǐng)域，深化“以模治模”理念，以更精準(zhǔn)、高效的智能攻防體系，為AI智能體生態(tài)筑牢安全底座，護(hù)航智能時(shí)代數(shù)字安全。

（編輯 郭之宸）