記者3月22日從三六零(下稱“360”)獲悉，近日360安全云團隊收到OpenClaw創始人Peter的官方郵件。在回信中，Peter正式確認了由360團隊獨家發現的OpenClaw Gateway WebSocket無認證升級漏洞。

據悉，目前360已將該高危漏洞同步報送，協助全網第一時間切斷風險源頭。此次確認的WebSocket無認證升級漏洞屬于零日（0Day）漏洞，攻擊者可利用該漏洞通過WebSocket靜默繞過權限認證，獲取智能體網關控制權，進而可能導致目標系統資源耗盡或全面崩潰。

這一漏洞也再次提醒行業，隨著智能體從“對話工具”走向“執行系統”，其安全風險正從模型層快速延伸至接口層、技能調用鏈與系統權限層。公網暴露接口、惡意Skill投毒、提示詞注入以及行為缺乏審計機制，正在成為全行業“養蝦”過程中的共性隱患。

360集團創始人周鴻祎此前提出，智能體時代需要堅持“以模治模”，通過安全能力對智能體運行全過程進行約束與監測。

據悉，360確立了“用AI監督AI、以Skill治理Skill”的核心策略，并已面向企業與開發者推出智能體部署安全檢測與風險排查能力（即“360安全云·龍蝦保”），對運行環境暴露面、高危漏洞及惡意Skill引入風險進行精準識別。

同時，360也上線了面向個人用戶的一體化解決方案“360安全龍蝦”及其內置組件“360龍蝦衛士”，通過隔離運行環境與嚴格的權限控制機制，降低智能體本地使用過程中的安全不確定性。

業內人士認為，此次漏洞獲得原作者郵件確認，顯示國內安全團隊已開始在智能體核心執行鏈路層形成實質性的風險識別能力，這也為當前快速發展的智能體應用生態提供了重要的安全參考。

360安全云團隊表示，未來360將持續跟進OpenClaw生態的漏洞挖掘與修復支持，推進智能體應用的實戰化防御。