360智能体升级漏洞挖掘能力 披露20余个龙虾漏洞详情
AI智能体(AI Agent)正深度融入办公自动化、编程开发、数据分析及设备控制等关键业务场景,在显著提升生产效率的同时,也使得一个严峻的挑战日益凸显:AI生态所面临的安全威胁正在加速显现。近日,360数字安全集团发布的《OpenClaw生态安全风险分析》研究报告,为我们揭示了这一问题的紧迫性。
报告披露,360的漏洞挖掘智能体已完成能力升级,正式迈入AI智能体生态自动化安全审计的新阶段。在对OpenClaw及其10款衍生智能体产品进行系统性安全评估的过程中,该平台累计自动化发现了超过20个安全漏洞,风险类型覆盖远程命令执行、权限绕过、敏感信息泄露以及恶意指令注入等多个关键维度。
目前,所有已识别的相关漏洞信息均已同步反馈至对应厂商与开发者,以协助其完成修复,并正式上报至国家信息安全漏洞库(CNNVD)及国家信息安全漏洞共享平台(CNVD)等权威机构。
具备“执行能力”的AI,也意味着更广泛的安全攻击面
报告指出了一个核心趋势:为增强任务执行效能,当前许多“智能体”正在广泛集成浏览器控制、文件系统访问、代码工具调用及各类网络服务API。这种从“信息交互”到“实际操作”的能力进化,虽是技术飞跃,却也同步将潜在的攻击面扩大了数倍。部分已发现漏洞的潜在危害极高,可能导致攻击者远程操控AI智能体,进而威胁到用户终端设备乃至企业内部网络系统的安全。
具体分析,其风险点颇具代表性。例如,部分智能体产品存在本地服务接口不当暴露、权限验证机制不健全等缺陷。这意味着,攻击者可通过构造恶意网络请求或伪造操作指令,轻易干扰智能体的正常决策逻辑,诱导其执行危险操作。更值得关注的是,部分产品在关键任务执行链路上缺乏必要的安全校验,执行内容存在被恶意篡改的风险。其后果不仅可能导致浏览器被劫持或用户隐私数据泄露,在极端情况下,被攻陷的智能体甚至可能成为攻击者渗透企业内网的“跳板”。
360安全专家对此深有体会。他们指出,相较于传统软件漏洞,AI智能体的安全风险图谱更为复杂。传统漏洞通常局限于特定功能模块,而智能体系统则持续处理动态的外部输入,并依据环境变化自主做出决策。许多时候,风险并非源于单一的代码缺陷,而是模型推理、工具调用、权限管理、网络通信等多个环节相互作用后,形成的“系统性安全风险”。
从“自动化扫描工具”到“智能安全分析专家”
面对此类新型复合风险,传统安全检测方法已显乏力。这正是360漏洞挖掘智能体此次能力升级的核心价值所在。升级后的系统,不仅能够自动化挖掘代码层面的安全漏洞,更重要的是,它能深度理解AI智能体的运行逻辑、解析其行为链路,并自动化构建出完整的攻击验证路径。可以说,它已超越了传统漏洞扫描工具的范畴,演进为一位能够自动化研究AI系统安全问题的“智能安全分析专家”。
该报告同时揭示了当前行业的一个普遍现状:随着AI辅助编程、“Vibe Coding”等敏捷开发模式的流行,大量智能体产品追求快速上线与迭代。然而,在速度优先的策略下,安全考量往往被置于次要位置。一些基础性安全缺陷会随着开源框架、通用插件及二次开发过程被不断复制,最终累积形成规模庞大的新型“技术安全债务”。
安全能力边界持续拓展
值得关注的是,此次对OpenClaw生态的成功安全审计,标志着360漏洞挖掘智能体的能力边界实现了又一次关键性突破。在此之前,该系统已在Windows操作系统、Office办公套件、国产操作系统、安卓系统、电子邮件服务器、物联网设备、OA系统等核心领域证明了其强大的自动化漏洞挖掘能力,累计发现漏洞近千个。如今,其能力已成功从传统软件领域延伸至AI智能体生态的安全评估,实现了对复杂智能体系统的全面风险覆盖。
行业观察家普遍认为,随着AI智能体被授予更高的系统权限和工具调用能力,AI安全的风险范畴早已超越传统软件漏洞的范畴。风险正沿着AI应用生态、工具调用链和权限体系快速扩散。在此背景下,拥有对复杂AI系统进行自动化深度安全审计的能力,无疑是一项具备战略意义的关键技术,甚至被业界类比为AI时代的“网络安全基石技术”。
毋庸置疑,技术发展的终极目标是护航产业前行。正如360研究人员所强调的,其核心目标是通过“以AI治理AI风险”的方式,前瞻性地发现并协助修复AI生态中的安全隐患,从而推动整个智能体产业在安全、可靠、可控的坚实基础上行稳致远。
相关攻略
AI智能体(AI Agent)正深度融入办公自动化、编程开发、数据分析及设备控制等关键业务场景,在显著提升生产效率的同时,也使得一个严峻的挑战日益凸显:AI生态所面临的安全威胁正在加速显现。近日,360数字安全集团发布的《OpenClaw生态安全风险分析》研究报告,为我们揭示了这一问题的紧迫性。 报
哪个智能体才真正好用?那些需要手动录入上百条Excel数据的深夜,或者在不同系统间反复复制粘贴的枯燥流程,想必很多人还记忆犹新。好在,时代在进步,工具也在升级。当AI浪潮席卷而来,传统的RPA(机器人流程自动化)也迎来了“认知觉醒”,催生出新一代的工作助手——智能体(Agent)。它们不再是死板执行
多智能体系统(Multi-Agent System,简称MAS)的核心优势,可以形象地理解为从“超级专家”到“智慧军团”的跃迁。单个AI模型或许能力出众,但多个智能体协同工作,则构建了一个能够7x24小时不间断运作、跨职能无缝配合、且具备极高容错性的“数字化组织”。这种架构的价值,远非简单的能力叠加
深夜的办公室,键盘敲击声不绝于耳。你是否也厌倦了填表、查数据、写报告这些枯燥的重复性工作?它们正悄然消耗你的宝贵时间和创造力。现在,一个革命性的解决方案已经到来——将这些机械劳动交给一位不知疲倦的“数字员工”。这并非科幻,全球首个通用智能体的诞生,正将这一高效办公的未来图景加速变为现实。 一、通用智
2025年初,一家中型电商公司的技术总监李明面临着一个紧迫的难题:公司希望将智能客服的独立问题解决率从不足40%提升至80%以上,并自动化处理营销文案生成和数据报告分析。他的团队评估了数个方案:采购成熟的SaaS产品,定制成本高昂且响应慢;从零开始研发,至少需要半年周期。 在一次行业交流中,他了解到
热门专题
热门推荐
2026年5月6日,存储行业迎来一个标志性节点:美光正式向市场交付其6600 ION系列固态硬盘的245TB版本。这不仅刷新了商用SSD的容量纪录,更意味着数据中心存储的密度与能效竞赛,进入了新的阶段。 这款“巨无霸”SSD的核心,是美光自研的第九代(G9)276层3D QLC NAND闪存颗粒。为
2026年5月5日,小米汽车旗下备受期待的首款增程式全尺寸SUV——内部代号“昆仑”的路试谍照正式曝光。作为一款瞄准多人口家庭用户市场的战略车型,“昆仑”采用了当前市场热门的增程式混合动力技术路线,旨在为用户提供无里程焦虑的纯电出行体验。 据悉,这款全新SUV计划于2026年下半年正式上市发布,其亮
备受期待的荣耀600系列手机国行版本,即将在本月下旬正式登陆国内市场。根据最新备案信息,该系列将提供六款独具特色的配色供消费者选择,分别为:象征喜悦的“好事橙”、寓意美好的“幸运星”、清新淡雅的“茉莉白”、活力十足的“青苹果”、深邃迷人的“光羽蓝”,以及永不过时的经典“曜石黑”。 从硬件配置来看,荣
近日,游戏界传来一则颇具讨论价值的消息。由前《巫师3》总监Konrad Tomaszkiewicz领衔的工作室Rebel Wolves,正式公布了其正在开发的黑暗奇幻角色扮演游戏《黎明行者之血》的一项激进设计:玩家在完成序章后,几乎可以跳过所有支线任务与地图探索,直接挑战位于城堡中的最终BOSS。
在王者荣耀的对抗路中,老夫子凭借其独特的机制,始终是令对手头疼的强势英雄。想要真正掌握这位“单挑王”,一套精准的攻速铭文搭配与灵活的出装思路,是奠定你线上压制力与团战影响力的关键。正确的配置,能让你从对线期开始就掌握主动权。 攻速铭文搭配:构筑前期优势的核心 铭文是英雄前期作战能力的基石。对于依赖普