El fundador de OpenClaw confirma en su respuesta el reconocimiento de la vulnerabilidad, equipo de seguridad en la nube de 360: continuará el seguimiento y soporte en la excavación y reparación de vulnerabilidades del ecosistema OpenClaw

Noticias de Sina Tech, 22 de marzo por la tarde: recientemente, el equipo de seguridad en la nube de 360 recibió un correo oficial del fundador de OpenClaw, Peter. En su respuesta, Peter confirmó formalmente que la vulnerabilidad de actualización sin autenticación en WebSocket del Gateway de OpenClaw, descubierta de manera exclusiva por el equipo de 360, es válida. Actualmente, 360 ha reportado esta vulnerabilidad de alto riesgo al Plataforma Nacional de Compartición de Vulnerabilidades de Seguridad de la Información (CNVD), ayudando a cortar la fuente del riesgo en toda la red en el menor tiempo posible.

La vulnerabilidad de actualización sin autenticación en WebSocket confirmada en esta ocasión pertenece a una vulnerabilidad de día cero (0Day), que permite a los atacantes aprovecharla para eludir silenciosamente la autenticación de permisos a través de WebSocket, obtener el control del gateway del agente inteligente, y potencialmente causar agotamiento de recursos o colapso total del sistema objetivo.

Esta vulnerabilidad también recuerda una vez más a la industria: a medida que los agentes inteligentes evolucionan de ser “herramientas de diálogo” a “sistemas de ejecución”, sus riesgos de seguridad se extienden rápidamente desde la capa de modelos hasta la capa de interfaces, la cadena de llamadas de habilidades y la capa de permisos del sistema. Las interfaces expuestas públicamente, el envenenamiento malicioso de Skills, la inyección de palabras clave y la falta de mecanismos de auditoría en el comportamiento se están convirtiendo en riesgos comunes en el proceso de “cultivo de camarones” en toda la industria. Como señaló anteriormente Zhou Hongyi, fundador del Grupo 360, en la era de los agentes inteligentes es necesario mantener la estrategia de “usar un modelo para gobernar otro”, mediante capacidades de seguridad que restrinjan y monitoreen todo el proceso de operación del agente inteligente.

En torno a estos riesgos, 360 ha establecido la estrategia central de “supervisar la IA con IA, gobernar Skills con Skills”, y ya ha lanzado capacidades de detección de seguridad y análisis de riesgos para el despliegue de agentes inteligentes (conocido como “360 Seguridad en la Nube · Lobster Guard”), para identificar con precisión las exposiciones del entorno de operación, vulnerabilidades de alto riesgo y riesgos de introducción de Skills maliciosos. Además, 360 ha lanzado una solución integral para usuarios individuales llamada “360 Seguridad Lobster” y su componente incorporado “360 Lobster Guard”, que mediante entornos de ejecución aislados y mecanismos estrictos de control de permisos, reduce significativamente la incertidumbre de seguridad durante el uso local del agente inteligente.

El equipo de seguridad en la nube de 360 afirmó que en el futuro continuarán siguiendo la detección y reparación de vulnerabilidades en el ecosistema de OpenClaw, promoviendo una defensa práctica en las aplicaciones de agentes inteligentes.