340,000 sistemas estelares se han visto afectados! El agente inteligente de detección de vulnerabilidades de 360 descubre una nueva vulnerabilidad de alta gravedad en OpenClaw

Recientemente, el Grupo 360 de Seguridad Digital, basándose en su propio sistema de coordinación multiagente para la búsqueda de vulnerabilidades 360 Multi-Inteligentes (en adelante: “agente inteligente de descubrimiento de vulnerabilidades 360”), logró descubrir una vulnerabilidad crítica en la plataforma OpenClaw, que cuenta con 340.000 estrellas en GitHub: una vulnerabilidad de inyección de prompt en el protocolo MEDIA que elude los permisos de las herramientas y provoca la filtración de archivos locales. Dicha vulnerabilidad fue confirmada oficialmente por la Base Nacional de Vulnerabilidades de Seguridad de la Información (CNNVD); el alcance del impacto cubre más de 50 países y regiones en todo el mundo, y más de 170.000 instancias públicas de OpenClaw se enfrentan a riesgos de seguridad. Este es otro avance en el ámbito de la búsqueda de vulnerabilidades mediante agentes inteligentes, después de que anteriormente 360 detectara vulnerabilidades de seguridad relacionadas con OpenClaw y recibiera una respuesta del fundador de OpenClaw confirmando el hecho. Demuestra el liderazgo técnico de 360 en seguridad de agentes inteligentes de IA a nivel global.

据 expertos de seguridad de 360, la vulnerabilidad crítica hallada en esta ocasión se encuentra en el módulo central de procesamiento de medios de la versión OpenClaw 2026.3.13, y presenta tres características evidentes: umbral de ataque bajo, alcance de impacto amplio y alta gravedad de los daños. El riesgo central de la vulnerabilidad radica en que el protocolo MEDIA se ejecuta en la capa de postprocesamiento de salida, pudiendo eludir por completo el control de la estrategia de herramientas de la plataforma. Incluso si el Agent deshabilita todas las llamadas a herramientas, el atacante puede iniciar el ataque únicamente con los permisos del miembro base de un chat grupal, robando directamente información sensible del servidor e incrementando en gran medida la probabilidad de que se desencadenen ataques de red posteriores.

En respuesta a esta vulnerabilidad, 360 ha completado de manera independiente la verificación de la cadena de ataque y las pruebas en campo, confirmando plenamente su autenticidad y su capacidad de explotación, y ha proporcionado soporte técnico profesional y sugerencias de reparación para que los responsables de la plataforma realicen el parche.

Y el hallazgo de esta vulnerabilidad crítica de OpenClaw confirma con precisión la previsión del fundador del Grupo 360, Zhou Hongyi, en su propuesta para las “Dos Sesiones” nacionales de 2026, sobre la tendencia de seguridad en la era de los agentes inteligentes para hackers. Señaló que, actualmente, los grandes modelos han evolucionado hasta convertirse en agentes capaces de pensar de forma independiente y de utilizar herramientas con soltura, reescribiendo por completo las reglas de la industria de la seguridad. Por un lado, la seguridad tradicional depende de la coincidencia de reglas y de la revisión manual; resulta difícil detectar vulnerabilidades críticas y ocultas, y la escasez de expertos en seguridad provoca que “descubrir sea difícil y reparar sea lento”. Por otro lado, los agentes inteligentes para hackers pueden atacar automáticamente 7×24 horas; el enfrentamiento ofensivo-defensivo pasa de “hombre contra hombre” a “desafío asimétrico de hombre contra máquina”. Además, las propias vulnerabilidades de la IA y los riesgos de inyección pueden hacer que las amenazas digitales se expandan hacia el mundo físico.

Ante los desafíos del sector, 360 ha profundizado en el campo de la seguridad durante más de diez años, ha integrado en gran medida la tecnología de IA y ha desarrollado una serie de agentes inteligentes de seguridad, como aquellos para la gestión de vulnerabilidades y la atribución de ataques. Estos se han aplicado en ámbitos como infraestructuras críticas de información. Mediante la construcción de un sistema de defensa proactiva con agentes inteligentes de seguridad que cuentan con capacidades de detección automática, análisis y respuesta, se aborda con precisión la amenaza que representan los agentes inteligentes para hackers.

Cuando la mayoría de las herramientas de escaneo de vulnerabilidades del sector aún se quedan en la fase de escaneo pasivo basado en reglas, el agente inteligente de descubrimiento de vulnerabilidades de 360 ya ha logrado un avance clave, impulsando la evolución de la búsqueda de vulnerabilidades desde “impulsada por reglas” hacia “impulsada por pensamiento inteligente”. En esta búsqueda de vulnerabilidades de OpenClaw, el sistema se coordina de forma unificada mediante el agente observador; los agentes profesionales colaboran en tareas como el análisis de la superficie de ataque, la auditoría de código con IA y la intrusión dinámica, formando un sistema estandarizado y en ciclo cerrado para la búsqueda de vulnerabilidades. En concreto, el agente de análisis de superficie de ataque bloquea todas las puertas de entrada del negocio y el motor de reglas ancla con precisión los puntos peligrosos; el agente de auditoría de código con IA atraviesa cadenas de llamadas complejas entre archivos y módulos, detectando con precisión vulnerabilidades ocultas a las que las herramientas tradicionales difícilmente pueden acceder.

Todo el proceso convierte la experiencia de ataque y defensa de expertos de seguridad de alto nivel en capacidades de trabajo estandarizadas de agentes inteligentes, logrando un avance eficiente y rápido del flujo de la vulnerabilidad desde el descubrimiento, la verificación hasta la entrega de soluciones, con una localización precisa y rápida de la alta vulnerabilidad de seguridad de alto valor de OpenClaw.

En el futuro, 360 seguirá mejorando continuamente las capacidades tecnológicas de búsqueda de vulnerabilidades con IA, impulsará activamente la implementación a escala de agentes inteligentes de seguridad en más ámbitos emergentes y velará por el desarrollo de alta calidad de la industria de la IA en la era de la economía inteligente.

(Editor: Jiang Yongdan ）

【Aviso legal】Este artículo solo representa opiniones de un tercero y no representa la postura de Hexun. Los inversores deben operar por su cuenta y asumir el riesgo.

	 【Publicidad】Este artículo solo representa las opiniones del autor y no tiene relación con Hexun. El sitio de Hexun mantiene una posición neutral sobre las afirmaciones y juicios de opinión presentados en el texto, y no ofrece ninguna garantía explícita o implícita sobre la exactitud, confiabilidad o integridad del contenido incluido. Por favor, los lectores deben considerarlo solo como referencia y asumir toda la responsabilidad por su cuenta. Correo electrónico：news_center@staff.hexun.com