近日,360數字安全集團在網絡安全領域取得重大突破,其自主研發的360多智能體協同漏洞挖掘系統(簡稱360漏洞挖掘智能體)在GitHub熱門平臺OpenClaw中成功識別出一處高危漏洞。該漏洞被命名為"MEDIA協議Prompt注入繞過工具權限泄露本地文件漏洞",已獲得國家信息安全漏洞庫(CNNVD)的正式確認。據統計,全球超過50個國家和地區的17萬余個公開訪問的OpenClaw實例均面臨安全威脅,這一發現再次證明了360在智能體安全技術領域的領先地位。
360安全專家團隊深入分析后指出,該漏洞存在于OpenClaw 2026.3.13版本的核心媒體處理模塊,具有攻擊門檻低、影響范圍廣、危害程度高等特點。其特殊之處在于MEDIA協議運行于輸出后處理層,能夠完全繞過平臺現有的工具策略控制機制。這意味著即使Agent禁用了所有工具調用功能,攻擊者仍可利用群聊基礎成員權限發起攻擊,直接竊取服務器敏感數據,為后續網絡攻擊創造條件。這種攻擊方式顯著降低了傳統安全防護體系的有效性。
在漏洞發現過程中,360團隊完成了完整的攻擊鏈驗證與實測工作,確認了漏洞的真實性與可利用性,并向平臺方提供了專業的修復方案和技術支持。這一成果與360集團創始人周鴻祎此前在全國兩會提案中的判斷高度吻合。他當時指出,隨著大模型進化為具備獨立思考和工具使用能力的智能體,安全行業正經歷根本性變革:傳統規則匹配與人工審查方式難以應對隱蔽高危漏洞,安全專家短缺導致"發現難、修復慢"的問題日益突出;同時黑客智能體可實現全天候自動攻擊,使攻防對抗從"人與人"升級為"人與機器"的不對稱較量。
面對這些挑戰,360憑借十余年在安全領域的深耕積累,將AI技術深度融入安全防護體系,開發出漏洞處置、攻擊溯源等系列安全智能體,并在關鍵信息基礎設施等領域實現應用。這些智能體具備自動感知、研判和響應能力,能夠構建主動防御體系,有效應對黑客智能體帶來的威脅。與傳統規則被動掃描工具不同,360漏洞挖掘智能體實現了從"規則驅動"到"智能思維驅動"的技術躍遷。
在本次OpenClaw漏洞挖掘過程中,系統采用標準化作業流程:觀察者智能體負責整體調度,攻擊面分析、AI代碼審計、動態滲透等專業智能體協同工作。其中攻擊面分析智能體可全面鎖定業務入口,通過規則引擎精準定位危險點;AI代碼審計智能體則能穿透復雜的跨文件、跨模塊調用鏈,發現傳統工具難以察覺的隱藏漏洞。這種協作模式將高級安全專家的攻防經驗轉化為智能體的標準化操作能力,顯著提升了漏洞發現效率。
