360智能体披露OpenClaw三项安全漏洞

新浪科技讯 4月7日晚间消息，近日，360漏洞挖掘智能体围绕OpenClaw 新发现并提交了3项高价值漏洞，其中包括1个高危漏洞和2个中危漏洞，目前这些漏洞均已由官方完成修复并对外公开。

本次披露的3个漏洞均涉及AI智能体的核心运行链路，其安全隐患会直接波及用户设备、数据以及账号安全，风险表现明确且影响直观。其中，最高危的一项漏洞出现在本地脚本审批与执行过程中，系统只是判断脚本是否通过审批，却没有验证脚本内容是否遭到修改。攻击者可在脚本审核通过后恶意替换其中代码，从而在用户电脑上实施未授权操作，甚至造成信息窃取、文件篡改乃至整机被控。

其中一项中危漏洞存在于OAuth手动粘贴授权环节。由于开发人员将本地私有的安全校验参数直接当作公开参数使用，导致关键校验信息会随着回调URL一并泄露。攻击者可借助剪贴板监听、网络代理等手段获取相关信息，进而轻易拿到访问令牌并控制用户关联的Google服务，对账号安全和数据隐私带来明显威胁；另一项中危漏洞则位于语音通话WebSocket数据处理流程中，系统在未事先校验数据有效性的情况下便直接处理超大数据包，攻击者可通过持续发送大量超大数据包耗尽系统资源，引发设备卡顿或崩溃，导致正常服务无法运行。

据悉，360漏洞挖掘智能体体系已经累计在多款主流AI智能体产品中发现高价值安全问题。与传统依赖规则的漏洞扫描工具不同，360漏洞挖掘智能体完成了从规则驱动向智能思维驱动的升级，能够更准确识别AI智能体中的授权逻辑缺陷、资源控制漏洞以及协议实现风险等深层问题。更具标志性意义的是，它让安全研究人员多年积累的攻防直觉和行业经验，首次拥有了可以沉淀、复用并持续演进的数字化载体。以往大量重复且机械的漏洞排查、验证与复现工作，如今能够由漏洞挖掘智能体高效承担，使安全专家从繁重重复的基础劳动中抽离出来，更专注于更具创造性的攻防研究、规则制定和风险研判，进一步释放人力与技术的综合价值。