4月7日,安全领域迎来一项重要进展:360公司自主研发的漏洞挖掘智能体成功识别并向官方报告了AI智能体OpenClaw的三个高价值安全漏洞,涵盖一个高危漏洞与两个中危漏洞。目前,所有漏洞均已获得官方修复并完成披露。这一事件的意义超越了单纯的漏洞修补,它标志着一个关键转折——AI在自动化安全审计中的角色,正从依赖预设规则的“执行工具”,向具备自主分析与推理能力的“智能探索者”演进。这为未来AI原生应用的安全治理与风险控制,开辟了一条创新且至关重要的技术路径。
那么,此次被发现的漏洞具体关联哪些安全风险?其中高危漏洞的核心问题,在于本地脚本的审批与执行机制存在逻辑缺陷。简而言之,攻击者可能在脚本通过安全审批后,恶意篡改其执行内容,从而绕过防护机制,实现任意代码执行,最终危及用户设备安全。这相当于在已验明的“安全门”上,留下了可被暗中替换的“锁芯”。
另外两个中危漏洞同样具有显著威胁。其一涉及OAuth手动授权流程,由于安全校验参数存在不当复用的可能性,可能导致攻击者劫持用户的Google服务账号权限。其二出现在语音通话的WebSocket数据处理环节,该处存在资源管控不足的缺陷,在极端请求场景下可能引发资源耗尽,进而导致服务中断或设备崩溃。这些漏洞的共同之处在于,它们都直接关联AI智能体运行架构的核心模块,暴露出当前智能体技术在权限隔离、协议实现等底层机制上,仍存在亟待深入排查与加固的深层安全隐患。
根据公开资料,360的漏洞挖掘智能体系统已累计在多个主流AI智能体中发现高价值安全漏洞。它与传统自动化扫描工具的核心差异何在?关键在于“模拟安全专家直觉”。传统工具大多依赖特征库进行模式匹配,如同按清单逐项核对;而智能体则能够模拟安全专家的攻防思维与经验直觉,实现从漏洞线索发现、逻辑验证到攻击复现的自动化闭环。这一能力使得安全研究人员得以从大量重复性、规则化的基础排查工作中释放出来,将更多精力专注于高阶威胁分析、攻击链研判以及安全策略的优化创新。
随着AI智能体日益深度融入企业业务流程与个人数字生活,其自身安全性已成为支撑整个AI产业生态的基石。可以预见,这种以AI驱动AI、以智能对抗智能的自动化漏洞挖掘与防御技术,将逐步演进为保障AI基础设施安全的关键组成部分。其技术成熟与广泛落地,将有力推动行业构建起更具韧性、更适应智能化时代复杂挑战的主动安全防御体系。安全攻防的战场,因为AI的深度参与,正迈入一个动态演进、智能对抗的全新阶段。
