近日,360独家发现了OpenClaw Gateway WebSocket无认证升级漏洞。该漏洞已获OpenClaw创始人Peter官方邮件确认,属于零日(0Day)高危漏洞。目前,360已将漏洞信息同步报送至国家信息安全漏洞共享平台(CNVD),协助全网第一时间切断风险源头。
据介绍,此次发现的WebSocket无认证升级漏洞存在于OpenClaw Gateway组件中。攻击者可利用该漏洞通过WebSocket静默绕过权限认证,获取智能体网关控制权,进而可能导致目标系统资源耗尽或全面崩溃。业内人士认为,此次漏洞获得原作者邮件确认,显示国内安全团队已开始在智能体核心执行链路层形成实质性的风险识别能力,也为当前快速发展的智能体应用生态提供了安全参考。
随着智能体从“对话工具”向“执行系统”加速演进,其安全风险正从模型层快速延伸至接口层、技能调用链与系统权限层。公网暴露接口、恶意Skill投毒、提示词注入以及行为缺乏审计机制,正在成为全行业面临的共性隐患。
据国家互联网应急中心公众号消息,国家互联网应急中心、中国网络空间安全协会3月22日联合发布OpenClaw安全使用实践指南,面向普通用户、企业用户、云服务商以及技术开发者等,提出安全防护建议。
其中,面向普通用户的建议包括:使用专用设备、虚拟机或容器安装OpenClaw,并做好环境隔离,不宜在日常办公电脑上安装;不将OpenClaw默认端口暴露到公网;不使用管理员或超级用户权限运行OpenClaw;安装可信技能插件(Skills);不在OpenClaw环境中存储/处理隐私数据;及时更新OpenClaw最新版本。
记者注意到,360近日在Open Claw智能体领域动作频频。
3月14日,公司正式推出“360安全龙虾”智能体应用客户端及“360安全龙虾Box”硬件终端,并发布专门应对OpenClaw安全问题的“360龙虾卫士”。同日,360在总部园区特设免费装“龙虾”活动,创始人周鸿祎现场为用户演示安装部署。
3月15日,周鸿祎在“龙虾安全媒体交流会”上回应外界对龙虾安全的关注,明确表示“龙虾是个好东西,绝非所谓的病毒,不发展、不进步才是最大的安全隐患”。
3月16日,360安全云升级“龙虾保”专属防护服务,推出龙虾安全体检、龙虾SKILL安全超市、龙虾安全巡检三大智能体,建起从平台到技能、从上线到运行的全链路防护体系。据披露,截至当日,龙虾平台体检智能体已累计发现24个CVE漏洞和6个原创漏洞。
(文章来源:上海证券报)
