360数字安全集团近日在智能体安全领域取得重大突破,其自主研发的360多智能体协同漏洞挖掘系统成功在GitHub热门平台OpenClaw中识别出一处高危漏洞。该漏洞被命名为"MEDIA协议Prompt注入绕过工具权限泄露本地文件漏洞",已获国家信息安全漏洞库(CNNVD)正式收录,影响范围覆盖全球50余个国家,涉及超过17万个公开访问的OpenClaw实例。
据安全专家分析,该漏洞存在于OpenClaw 2026.3.13版本的核心媒体处理模块,具有攻击门槛低、影响范围广、危害程度高等特点。其特殊之处在于MEDIA协议运行于输出后处理层,可完全绕过平台工具策略控制机制。即使Agent禁用所有工具调用,攻击者仅需群聊基础成员权限即可实施攻击,直接窃取服务器敏感数据,为后续网络攻击创造条件。360团队已完成漏洞攻击链的完整验证,并向平台方提供了专业修复方案。
此次发现印证了360集团创始人周鸿祎在全国两会提案中的前瞻判断。他指出,随着大模型进化为具备独立思考和工具使用能力的智能体,安全行业正经历根本性变革:传统规则匹配与人工审查模式难以应对隐蔽漏洞,安全专家短缺导致"发现难、修复慢";黑客智能体可实现7×24小时自动化攻击,攻防形态从"人与人对抗"升级为"人与机器的不对称对抗";AI系统自身漏洞与注入风险更可能引发数字威胁向物理世界扩散。
面对行业挑战,360依托十余年安全技术积累,将AI技术深度融入安全体系,构建了覆盖漏洞处置、攻击溯源等场景的安全智能体矩阵,并在关键信息基础设施领域实现规模化应用。通过具备自动感知、研判、响应能力的智能体网络,形成主动防御体系,有效应对黑客智能体威胁。当行业多数漏洞扫描工具仍依赖规则被动扫描时,360漏洞挖掘智能体已实现从"规则驱动"到"智能思维驱动"的跨越。
在OpenClaw漏洞挖掘过程中,系统采用标准化闭环作业模式:观察者智能体负责整体调度,攻击面分析、AI代码审计、动态渗透等专业智能体协同工作。其中攻击面分析智能体可全面锁定业务入口,通过规则引擎精准定位危险锚点;AI代码审计智能体能穿透跨文件、跨模块的复杂调用链,发现传统工具难以察觉的隐藏漏洞。该体系将高级安全专家的攻防经验转化为标准化作业流程,实现漏洞发现、验证到解决方案输出的全流程高效推进。
免责声明:本文内容仅供参考,不构成任何形式的投资建议。
