本報訊 （記者袁傳璽）近期，360漏洞挖掘智能體持續(xù)深耕AI智能體安全領域，針對OpenClaw成功新挖掘并上報1個高危、2個中危共3個高價值漏洞，目前所有新發(fā)現漏洞均已被官方修復并公開披露，以硬核實戰(zhàn)成果落地“以模治模”“用AI監(jiān)管AI”的安全理念。

    此次新發(fā)現的三大漏洞均直指AI智能體核心運行機制，安全風險直接影響用戶設備、數據與賬號的核心安全，危害清晰且直觀。其中，高危漏洞存在于本地腳本審批與執(zhí)行環(huán)節(jié)，系統僅對腳本審批狀態(tài)進行判斷，未校驗腳本內容是否被篡改，攻擊者可在腳本通過審批后惡意替換代碼，進而在用戶電腦上執(zhí)行非法操作，實現信息竊取、文件修改甚至整機控制；一處中危漏洞藏于OAuth手動粘貼授權流程，因開發(fā)者將本地私密安全校驗參數直接復用為公開參數，關鍵校驗信息會隨回調URL泄露，攻擊者可通過剪貼板、網絡代理等方式竊取該信息，輕松獲取訪問令牌并接管用戶關聯的Google服務，對用戶賬號安全與數據隱私形成嚴重威脅；另一處中危漏洞則出現在語音通話WebSocket數據處理流程，系統未提前校驗數據合法性便直接處理超大數據包，攻擊者可通過發(fā)送海量大數據包耗盡系統資源，造成設備卡頓、崩潰，導致正常服務無法使用。

    當前，AI智能體快速普及，網絡攻防已邁入“智能體對抗智能體”的全新階段，AI應用自身安全成為數字安全的核心挑戰(zhàn)。360依托十余年網絡安全實戰(zhàn)積累與AI技術深度融合，打造出行業(yè)領先的漏洞挖掘智能體體系，已累計發(fā)現多款主流AI智能體的高價值安全漏洞。

    三大漏洞的連續(xù)發(fā)現與上報，不僅體現了360漏洞挖掘智能體的超高效率與精準度，更重新定義了AI時代漏洞挖掘的核心價值。

    區(qū)別于傳統規(guī)則式漏洞掃描工具，360漏洞挖掘智能體實現了從規(guī)則驅動到智能思維驅動的跨越，可精準識別AI智能體中授權邏輯缺陷、資源管控漏洞、協議實現風險等深層隱患。而其更具里程碑意義的價值在于：讓安全研究員沉淀多年的攻防直覺與領域經驗，第一次擁有了可沉淀、可復用、可持續(xù)進化的數字化載體。過去大量重復、機械的漏洞排查、驗證、復現等基礎工作，如今可交由漏洞挖掘智能體高效完成，安全專家得以從繁瑣的重復性勞動中解放，回歸到最具創(chuàng)造力的攻防研究、規(guī)則設計、風險研判核心戰(zhàn)場，真正實現人力價值與技術能力的最大化釋放。

    這正是“用AI監(jiān)管AI”的核心落地：以安全智能體對抗AI智能體的潛在風險，用AI補齊新一代AI應用的安全短板，構建“機器高效執(zhí)行、專家專注創(chuàng)新”的全新安全作業(yè)模式。

    未來，360將持續(xù)升級漏洞挖掘智能體能力，聚焦AI智能體、大模型等新興安全領域，深化“以模治模”理念，以更精準、高效的智能攻防體系，為AI智能體生態(tài)筑牢安全底座，護航智能時代數字安全。

（編輯 郭之宸）