360集团在智能体安全方面有了个大发现,那就是Gateway组件里藏着一个Websocket漏洞,属于那种还没被发现过的零日问题。咱们先得说说OpenClaw这个软件,它的创始人Peter给360团队回了信,不光承认了360的独家发现,还直接说了这问题挺严重。 这回的漏洞可是高危的,因为攻击方根本不需要验证身份就能直接通过Websocket协议拿到控制权。要是真被利用了,轻者把系统资源掏空让它跑不动,重者直接把系统搞崩溃,特别是对那些特别重要的基础设施和业务系统来说,简直就是个大威胁。 现在智能体技术越来越复杂了,光是管好模型层面已经不够用了,接口层、调用链还有权限层全都得盯着。行业里现在到处都是公网暴露的接口,恶意Skill投毒、提示词注入这种攻击也不少见,甚至连审计机制都跟不上。这些就像是在养虾一样,稍微不小心就会闹大事故。 周鸿祎之前提过“以模治模”的安全理念,这次正好派上用场。他们通过安全大模型构建了一套主动防御体系,这就像是给智能体穿上了一层防弹衣。传统的防护手段在面对智能体这种新场景的时候已经不够用了,但360通过这种方法就把很多漏洞都堵上了。 现在360已经把这个漏洞信息给了国家信息安全漏洞共享平台CNVD。虽然黑客还没真正利用起来,但为了全网的安全着想,提前做好准备总没错。这次发现也给大家提了个醒:随着智能体越来越强,咱们的防范意识和技术手段也得跟着升级才行。