360智能体升级挖掘20余个龙虾漏洞
当AI智能体(AI Agent)深度融入办公自动化、编程开发、数据分析乃至物联网设备控制时,一个全新的数字安全攻防阵地已然形成。生态的迅猛发展,往往伴随着安全暴露面的急剧拓宽。近期,360数字安全集团发布的《OpenClaw生态安全风险分析》研究报告,为我们清晰地揭示了这一前沿领域潜藏的安全挑战。
报告披露,360漏洞挖掘智能体已完成一次关键能力升级,正式进军AI智能体生态的自动化安全审计新阶段。该研究以OpenClaw及其10款衍生智能体产品为分析样本,进行了一次深入的系统性安全“体检”。结果如何?系统累计自动化发现了超过20个安全风险点,涉及远程代码执行、权限校验绕过、敏感信息泄露、恶意指令注入等多种高危漏洞类型。
目前,所有已识别的安全缺陷均已同步反馈至相关产品厂商与开发者推动修复,并按规定流程上报至国家信息安全漏洞库(CNNVD)等权威机构。
“能执行会操作”的AI,正引发新型安全危机
报告深入剖析了一个核心矛盾:为提升任务执行能力,现代AI智能体正广泛集成各类工具——如网页浏览器、文件管理系统、代码解释器、网络API等。这使AI从“对话应答者”演变为“实干操作者”,但能力跃升的同时,其攻击面与风险系数也呈指数级增长。
部分已发现漏洞的潜在影响极为严重。攻击者可能利用这些漏洞远程操控AI智能体,进而威胁用户终端安全,甚至以此为跳板渗透至企业内网核心系统。例如,某些智能体产品存在本地服务接口暴露或权限验证不严的问题,攻击者通过构造恶意网页或交互指令,即可干扰其决策逻辑,诱导其执行危险操作。更严重的是,部分产品在执行高权限任务时缺乏关键安全校验,指令内容可能被中间人篡改,最终导致浏览器被劫持、用户隐私数据泄露,乃至成为攻击者侵入企业网络的突破口。
360安全专家对此感触颇深。他们发现,相较于传统软件漏洞,AI智能体的安全风险图谱更为复杂。传统漏洞通常局限于特定功能模块,而智能体是一个持续与环境交互、自主调用工具、动态决策的复杂系统。其风险往往并非孤立的代码缺陷,而是模型推理、工具调用链、权限管理、网络通信等多个环节交织作用下,产生的“系统性安全风险”。
从“自动化扫描”到“智能安全分析”的演进
面对此类新型复合风险,依赖传统规则或单一维度的安全检测方法已显乏力。这正是360漏洞挖掘智能体此次升级的核心价值所在。它不再只是一个模式化的漏洞扫描工具。
升级后的系统,能够深度理解AI智能体的运行框架与行为逻辑,分析其完整的任务执行链路,并自动化构建出潜在的攻击利用路径。实质上,它已演进为一个能够对AI系统进行深度安全研究的“智能分析专家”。这种面向复杂系统的审计能力,正是应对当下AI生态安全挑战的迫切所需。
高速发展背后的“安全债务”与生态化治理
报告亦指出一个行业现状:在AI辅助编程、敏捷开发模式主导的当下,智能体产品普遍追求快速迭代与上线。然而,开发速度的提升有时会挤占安全投入,导致一些基础性安全漏洞通过开源框架、通用组件及二次开发流程被引入和扩散,形成沉重的“安全技术债务”。
此次对OpenClaw生态的成功审计,标志着360漏洞挖掘智能体能力的又一次重大突破。此前,该系统已在Windows、Office、国产操作系统、Android、邮件服务器、物联网设备及OA系统等多个核心领域证明了其自动化漏洞挖掘的卓越效能,累计发现并协助修复漏洞近千个。如今,其能力边界已从传统软件、固件延伸至AI智能体生态的安全评估,实现了对复杂智能系统的全面风险覆盖。
行业观察人士指出,随着AI智能体被授予更高的系统权限和广泛的工具调用能力,其安全风险早已超越传统软件漏洞的范畴,正沿着整个AI应用生态、工具链和权限体系快速扩散。在此背景下,具备对复杂AI系统进行自动化、深度安全审计的技术,其战略价值至关重要,甚至被视为保障AI时代稳健发展的“关键基石技术”。
对此,360研究团队强调,其核心目标始终是践行“以AI治理AI风险”的理念——通过前沿的AI安全技术,主动发现并消弭AI生态自身的安全隐患,从而护航整个智能体产业在安全、可靠、可控的轨道上行稳致远。
相关攻略
当我们探讨如何让多个“智能体”协同工作时,实际上是在研究一个前沿领域——智能体协调控制。简而言之,这是一种通过设计特定的规则与策略,使一群具备自主感知、决策与行动能力的个体,通过相互协作,共同完成复杂任务或管理系统的方法论。 定义与核心原理 该方法的核心在于“协调”二字。每个智能体都能独立感知环境并
谈及RPA(机器人流程自动化)与智能体,不少用户容易将两者概念混淆。实际上,若将它们比作数字化工厂中的两类“员工”,其核心差异便清晰可见。 RPA:不知疲倦的“熟练工” RPA的定位,类似于生产线上的资深操作员。它最擅长执行那些高度重复、规则极其清晰的标准化任务,例如批量处理表单、跨平台数据迁移、定
构建一个高效的目标导向智能体系统,是一项融合了系统工程与人工智能技术的复杂任务。它并非简单的代码堆砌,而是一个涵盖目标定义、架构设计、决策算法选择、学习能力赋予以及应对现实世界不确定性的完整框架。本文将系统性地拆解这一构建过程,为您提供清晰的实施蓝图。 一、智能体的定义与目标 智能体(Agent)的
聊到智能体程序,很多人可能觉得这是个高深莫测的领域。其实,它离我们并不遥远,从家里的智能温控器到路上的自动驾驶汽车,背后都有不同类型智能体的身影。它们各有所长,适用于不同的场景。今天,我们就来梳理一下几种主流的智能体类型,看看它们是如何“思考”和“行动”的。 简单反射智能体(Simple Refle
腾讯开源TencentDBAgentMemory工具,以四层渐进式记忆架构解决AIAgent记忆管理难题。该工具结合上下文卸载与任务画布技术,显著降低Token消耗并提升任务成功率,支持短期记忆压缩与长期个性化记忆,所有记忆文件以可读格式保存确保可追溯。默认使用本地SQLite实现零依赖部署,适配主流Agent框架便于快速集成。
热门专题
热门推荐
《梦幻西游》每月“武神坛”服战流程分为报名、投票、备战与比赛四个阶段。报名于每月1日至第二周周日进行,随后是玩家投票期。第三周周三至周四为战神附体备战阶段,周四至周五完成档案复制与记者指定。正式比赛于第三周周六开始,参赛者需登录游戏传送至赛场。
潜水电梯蓝图是《深海迷航2》中建造垂直交通的关键。玩家需从初始点朝240度方向直线前进,抵达一处小型残骸营地。该营地并非主线必经,但必定产出潜水电梯蓝图。到达后可直接扫描获取蓝图,其他普通资源可忽略。
《大神绝景版》风车村隐藏着丰富支线任务,如寻找藏宝图、解开雕像谜题、调查村民失踪等。这些任务涉及解谜、探索与互动,通过完成特定条件可触发隐藏场景或剧情,让玩家深入体验村落细节与背景故事,增强沉浸感。
在《深海迷航2》开局阶段,获取石英的关键在于救生舱附近的浅海区域。玩家可向东、南或东南方向游动30至150米,寻找醒目的橙红色珊瑚穹顶。其内部固定生成石英,无需工具即可徒手采集。该区域深度适中、环境安全,同时便于顺路收集钛、铜等其他前期资源,高效满足建造需求。
开局拿到黑匣子后,建议优先解锁“消化基因”。从救生舱向正北偏东约25度方向前进150至180米,在浅海区找到发粉光的巨型植物“天使栉”。靠近其核心互动即可解锁。该被动技能能永久解决食物问题,让玩家更专注于探索与建造。