近日,360数字安全集团在网络安全领域取得重大突破,其自主研发的360多智能体协同漏洞挖掘系统(简称360漏洞挖掘智能体)在GitHub热门平台OpenClaw中成功识别出一处高危漏洞。该漏洞被命名为"MEDIA协议Prompt注入绕过工具权限泄露本地文件漏洞",已获得国家信息安全漏洞库(CNNVD)的正式确认。据统计,全球超过50个国家和地区的17万余个公开访问的OpenClaw实例均面临安全威胁,这一发现再次证明了360在智能体安全技术领域的领先地位。
360安全专家团队深入分析后指出,该漏洞存在于OpenClaw 2026.3.13版本的核心媒体处理模块,具有攻击门槛低、影响范围广、危害程度高等特点。其特殊之处在于MEDIA协议运行于输出后处理层,能够完全绕过平台现有的工具策略控制机制。这意味着即使Agent禁用了所有工具调用功能,攻击者仍可利用群聊基础成员权限发起攻击,直接窃取服务器敏感数据,为后续网络攻击创造条件。这种攻击方式显著降低了传统安全防护体系的有效性。
在漏洞发现过程中,360团队完成了完整的攻击链验证与实测工作,确认了漏洞的真实性与可利用性,并向平台方提供了专业的修复方案和技术支持。这一成果与360集团创始人周鸿祎此前在全国两会提案中的判断高度吻合。他当时指出,随着大模型进化为具备独立思考和工具使用能力的智能体,安全行业正经历根本性变革:传统规则匹配与人工审查方式难以应对隐蔽高危漏洞,安全专家短缺导致"发现难、修复慢"的问题日益突出;同时黑客智能体可实现全天候自动攻击,使攻防对抗从"人与人"升级为"人与机器"的不对称较量。
面对这些挑战,360凭借十余年在安全领域的深耕积累,将AI技术深度融入安全防护体系,开发出漏洞处置、攻击溯源等系列安全智能体,并在关键信息基础设施等领域实现应用。这些智能体具备自动感知、研判和响应能力,能够构建主动防御体系,有效应对黑客智能体带来的威胁。与传统规则被动扫描工具不同,360漏洞挖掘智能体实现了从"规则驱动"到"智能思维驱动"的技术跃迁。
在本次OpenClaw漏洞挖掘过程中,系统采用标准化作业流程:观察者智能体负责整体调度,攻击面分析、AI代码审计、动态渗透等专业智能体协同工作。其中攻击面分析智能体可全面锁定业务入口,通过规则引擎精准定位危险点;AI代码审计智能体则能穿透复杂的跨文件、跨模块调用链,发现传统工具难以察觉的隐藏漏洞。这种协作模式将高级安全专家的攻防经验转化为智能体的标准化操作能力,显著提升了漏洞发现效率。
