340 000 systèmes stellaires en alerte ! L'agent intelligent d'exploration de vulnérabilités 360 déniche une nouvelle vulnérabilité critique OpenClaw

Récemment, le groupe 360 Digital Security, s’appuyant sur son propre système de collaboration d’agents intelligents pour l’extraction de vulnérabilités 360 Multi-Agents (abrégé : agent d’extraction de vulnérabilités 360), a réussi à mettre au jour une vulnérabilité critique sur la plateforme OpenClaw, ayant atteint 340 000 étoiles sur GitHub : une vulnérabilité d’injection de type Prompt via le protocole MEDIA, entraînant un contournement des permissions de l’outil et une fuite de fichiers locaux. Cette vulnérabilité a été officiellement confirmée par la base nationale de vulnérabilités en cybersécurité (CNNVD). Son périmètre d’impact couvre plus de 50 pays et régions à travers le monde, et plus de 170 000 instances OpenClaw accessibles publiquement font face à des risques de sécurité. Il s’agit d’une nouvelle percée dans le domaine de l’extraction de vulnérabilités par agents intelligents, après la découverte antérieure par 360 de vulnérabilités de sécurité liées à OpenClaw et la réponse confirmant ces faits de la part du fondateur d’OpenClaw. Elle met en évidence le leadership technique de 360 dans le domaine mondial de la sécurité des agents IA.

据 les experts sécurité de 360 indiquent que la vulnérabilité critique découverte cette fois-ci se situe dans le module cœur de traitement des médias de la version OpenClaw 2026.3.13. Elle présente trois caractéristiques notables : un seuil d’attaque faible, une large portée d’impact et une gravité élevée des dommages. Le risque principal de cette vulnérabilité réside dans le fait que le protocole MEDIA s’exécute dans la couche de traitement post-sortie, ce qui permet de contourner totalement le contrôle des stratégies de l’outil de la plateforme. Même si l’Agent désactive tous les appels d’outils, un attaquant peut lancer l’attaque uniquement avec les permissions de base d’un membre d’un groupe de discussion, puis voler directement des informations sensibles du serveur, entraînant très facilement des attaques réseau ultérieures.

Face à cette vulnérabilité, 360 a achevé de manière indépendante la validation et les tests en conditions réelles de la chaîne d’attaque, confirmant pleinement son authenticité et sa capacité d’exploitation, et a fourni un support technique professionnel ainsi que des recommandations de correction pour la réparation côté plateforme.

Et la découverte de cette vulnérabilité critique sur OpenClaw confirme avec précision l’évaluation prospective du fondateur de 360, Zhou Hongyi, dans la proposition soumise lors des deux sessions nationales de 2026 : concernant les tendances de sécurité à l’ère des agents intelligents de piratage. Il a souligné qu’à l’heure actuelle, les grands modèles ont évolué en agents capables de penser indépendamment et d’utiliser des outils avec aisance, réécrivant complètement les règles de l’industrie de la sécurité. D’une part, la sécurité traditionnelle repose sur l’appariement de règles et l’examen manuel, ce qui rend difficile la détection des vulnérabilités critiques dissimulées ; le manque d’experts en sécurité conduit à la difficulté de « découvrir » et à la lenteur de « corriger ». D’autre part, les agents de piratage peuvent attaquer 7×24 heures de manière automatique : la confrontation en matière de défense et d’attaque passe de « humain contre humain » à une confrontation asymétrique « humain contre machine ». Par ailleurs, les vulnérabilités et les risques d’injection propres à l’IA peuvent faire s’étendre les menaces numériques au monde physique.

Face aux défis du secteur, 360 s’investit dans la cybersécurité depuis plus de dix ans, intègre profondément la technologie IA, et construit une série d’agents intelligents de sécurité tels que ceux dédiés au traitement des vulnérabilités et à la traçabilité des attaques, avec des déploiements dans des domaines comme les infrastructures d’information essentielles. Grâce à la construction d’un système de défense proactive, reposant sur des agents intelligents capables d’auto-détection, d’analyse et de réponse, il est possible de faire face de façon précise aux menaces posées par les agents de piratage.

Alors que la plupart des outils de scan de vulnérabilités du secteur restent au stade du scan passif basé sur des règles, l’agent d’extraction de vulnérabilités 360 a réalisé une percée clé, faisant passer l’extraction de vulnérabilités de la « conduite par les règles » à une transition vers la « conduite par la pensée intelligente ». Lors de l’extraction de la vulnérabilité OpenClaw dans ce cas, le système a été orchestré de façon unifiée par l’agent observateur, avec une collaboration entre des agents spécialisés tels que l’analyse de la surface d’attaque, l’audit de code par IA et la pénétration dynamique, formant un système d’extraction de vulnérabilités standardisé et en boucle fermée. Parmi eux, l’agent d’analyse de la surface d’attaque verrouille toutes les entrées de l’activité, et le moteur de règles ancre précisément les points d’ancrage dangereux ; l’agent d’audit de code par IA traverse des chaînes d’appels complexes à travers des fichiers et des modules, et détecte avec précision des vulnérabilités cachées que les outils traditionnels ont du mal à atteindre.

Tout le processus convertit l’expérience de l’expert高级 en sécurité en capacités standardisées d’opérations d’agents, assurant une progression efficace et rapide des vulnérabilités, depuis la découverte, la validation jusqu’à la sortie de solutions, avec un repérage précis et rapide de la vulnérabilité de sécurité à forte valeur d’OpenClaw.

À l’avenir, 360 continuera à améliorer ses capacités technologiques d’extraction de vulnérabilités par IA, et soutiendra activement le déploiement à grande échelle des agents de sécurité dans davantage de domaines émergents, afin de protéger le développement de haute qualité de l’industrie de l’IA à l’ère de l’économie intelligente.

Rédacteur :姜永丹 ）

【Avis de non-responsabilité】Le présent article ne représente que l’opinion du tiers, et ne reflète pas la position de Hexun.com. Les investisseurs agissent à leurs propres risques et responsabilités.

	 【Publicité】Le présent article ne représente que l’opinion de l’auteur lui-même et n’a aucun lien avec Hexun.com. Le site Hexun.com reste neutre quant aux affirmations et jugements exposés dans le texte ; il ne fournit aucune garantie explicite ou implicite quant à l’exactitude, la fiabilité ou l’exhaustivité des contenus inclus. Les lecteurs ne doivent s’en servir qu’à titre de référence et assumer l’entière responsabilité qui en découle. E-mail : news_center@staff.hexun.com