一、问题浮现:高危漏洞威胁智能体安全 近日,OpenClaw开源项目中发现了一个WebSocket认证绕过漏洞。经360安全云团队确认并获项目创始人书面认可,该漏洞已被列为零日漏洞。技术分析表明,攻击者可利用此漏洞绕过系统权限验证,直接控制智能体网关核心功能,导致服务中断或资源被窃取。该发现显示,安全威胁正从算法层面向系统架构深层的接口调用和权限管理环节延伸。 二、风险溯源:技术发展带来新挑战 随着人工智能从简单交互向复杂决策系统发展,其安全边界也在不断扩展。行业数据显示,当前智能体生态存在三大隐患:公网接口过度暴露、第三方技能库可能包含恶意代码、操作日志缺失导致溯源困难。360技术专家表示,传统的"事后修补"模式已无法适应智能系统的实时演进需求,需要建立覆盖开发、部署和运行全流程的动态防护体系。 三、应对策略:双轨制防御方案 针对不同应用场景,360推出两套解决方案。面向企业的"龙虾保"平台集成了环境扫描引擎,可精确检测接口暴露面;个人版"安全龙虾"系统则通过沙箱隔离和权限熔断机制防范本地部署风险。其核心组件响应速度达到亚秒级,比传统防护系统效率提升60%以上。 四、行业展望:共建安全生态 目前漏洞信息已提交至国家信息安全漏洞共享平台,检测工具向开发者社区开放测试。技术团队表示,将重点研发接口加密通信等技术,并计划年内发布智能体安全白皮书。业内人士认为,这种"技术研发+标准制定"的模式有望重塑AI安全治理格局。
安全是智能体发展的基础。从漏洞发现到解决方案落地的全过程表明,只有通过负责任的披露和闭环管理,切实落实风险识别、权限控制和运行审计,才能在技术普及的同时保障系统稳定和数据安全,推动新技术健康有序发展。