嘿,大家好,这里是咱们的安全圈。360集团最近可是忙坏了,特别是他们的安全云团队,刚刚又搞了个大动作。他们把OpenClaw创始人Peter给叫来,确认了一个特别危险的漏洞——OpenClaw Gateway的WebSocket认证绕过漏洞。这个漏洞被CNVD列为零日漏洞,杀伤力极大。只要拿到了这东西,攻击者就能绕过所有验证,直接把智能体网关给接管了。要是真这么干,目标系统的资源肯定得耗尽,服务也得挂。 话说这几年AI应用越来越复杂,从聊天工具变成了复杂的执行系统。以前的风险还在模型层转悠,现在全都扩散到接口调用、技能链这些地方去了。公网接口暴露、恶意技能植入、提示词注入攻击还有操作日志缺失,这些问题现在成了所有智能体生态的通病。 对于这种新情况,360集团创始人周鸿祎早就想到了解决办法。他提出要"以模治模",用技术手段把整个生命周期都管起来。这次他们推出了"双轨制"方案。 企业端的那个叫"龙虾保",能给智能体部署环境来个全面扫描,精准找出接口暴露面和高危漏洞;个人端的"安全龙虾"就更牛了,用环境隔离技术和细粒度权限控制,专门对付本地化部署时的不确定性。它那个核心的"龙虾卫士"现在已经能实时阻断威胁了。 这次360不光发现了问题,还给了行业提供了关键支持。他们把漏洞细节都上报给了CNVD。现在他们还会持续关注OpenClaw生态系统的安全问题,建立一个漏洞发现、验证到修复的闭环机制。接下来的重点就是要攻克接口防护和技能库审计这两块儿技术难题。 最后告诉大家一个好消息:相关的安全检测工具已经给开发者社区开放申请了;个人用户的防护方案也已经全平台覆盖了。大家赶紧用起来吧!