近日、360デジタルセキュリティグループは、自社で研究開発した360マルチエージェント協調型脆弱性調査システム(略称:360脆弱性調査スマートエージェント)を基盤に、GitHubで34万スターを獲得しているOpenClawプラットフォームにて、高危険度の脆弱性をついに発見しました——MEDIAプロトコルのPromptインジェクションによるツール権限のバイパスおよびローカルファイル漏えいの脆弱性です。この脆弱性は国家情報セキュリティ脆弱性データベース(CNNVD)により正式に確認されており、影響範囲は世界50を超える国・地域に及びます。さらに、17万件を超える公開アクセス可能なOpenClawインスタンスがセキュリティリスクにさらされています。これは、先に360がOpenClaw関連のセキュリティ脆弱性を発見し、OpenClawの創設者からの返信で確認を得たことに続く、スマートエージェントの脆弱性調査領域におけるさらなるブレークスルーであり、360がグローバルなAIスマートエージェントのセキュリティ分野で技術的にリードしていることを示しています。 360セキュリティの専門家によると、今回発見された高危険度の脆弱性は、OpenClaw 2026.3.13バージョンのコアであるメディア処理モジュールに存在し、攻撃のハードルが低い、影響範囲が広い、危害の度合いが大きいという3つの際立った特徴を兼ね備えています。この脆弱性の中核的なリスクは、MEDIAプロトコルが出力後処理層で動作するため、プラットフォームのツール戦略による制御を完全に回避できる点にあります。たとえAgentがすべてのツール呼び出しを無効化していても、攻撃者はグループチャットの基本メンバー権限だけで攻撃を開始でき、サーバーの機密情報を直接窃取することができ、続発するネットワーク攻撃を引き起こしやすくなります。 この脆弱性に対して360は、脆弱性攻撃チェーンの検証と実測を独自に完了し、その真実性と悪用可能性を十分に確認するとともに、プラットフォーム側の修復のための専門的な技術サポートと修復提案を提供しています。 また今回のOpenClaw高危険度の脆弱性の発見は、360グループの創設者である周鸿祎氏が2026年の全国両会の提案で述べた、「ハッカー・スマートエージェントの時代における安全動向」に関する先見的な判断を的確に裏づけるものです。同氏は、現在、大規模言語モデルは独立して思考し、ツールを熟練して使いこなすスマートエージェントへと進化しており、安全業界のルールを書き換えたと指摘しています。1つには、従来のセキュリティはルールの照合と人による審査に依存しているため、巧妙に隠れた高危険度の脆弱性を見つけにくく、セキュリティ専門家の不足により「発見が難しく、修復が遅い」という問題が生じています。もう1つには、ハッカー・スマートエージェントは7×24時間自動で攻撃でき、攻防が「人と人の対抗」から「人と機械の非対称な対抗」へとアップグレードされています。さらに、AI自身の脆弱性とインジェクションのリスクによって、デジタル上の脅威が物理世界へ波及する可能性があります。 業界の課題に直面し、360はセキュリティ分野に10年以上深く取り組み、AI技術を深く統合して、脆弱性対応、攻撃の追跡など一連のセキュリティスマートエージェントを構築し、重要な情報インフラ基盤などの分野で導入してきました。自動感知、調査・判断、応答能力を備えたセキュリティスマートエージェントにより能動的な防御体系を構築し、ハッカー・スマートエージェントの脅威に対して精密に対応します。 業界の多くの脆弱性スキャンツールが依然としてルールによる受動的なスキャン段階にとどまる中、360の脆弱性調査スマートエージェントは重要なブレークスルーを実現し、脆弱性調査を「ルール駆動」から「スマートな思考駆動」へと飛躍させました。本件OpenClawの脆弱性調査では、システムは観察者スマートエージェントによって統一的に運用され、攻撃面分析、AIコード監査、動的なペネトレーションなどの専門スマートエージェントが協調して作業し、標準化され、閉ループ化された脆弱性調査体系を形成しています。その中で、攻撃面分析スマートエージェントはビジネス上のすべての入口を特定し、ルールエンジンが危険なアンカーを正確に固定します。AIコード監査スマートエージェントはファイルをまたぎ、モジュールをまたぐ複雑な呼び出しチェーンを貫通して、従来のツールでは到達しにくい隠れた脆弱性を正確に発見します。 この一連のプロセスでは、高度なセキュリティ専門家の攻防に関する経験が、スマートエージェントの標準化された作業能力へと転換され、脆弱性を「発見」から「検証」へ、さらに「解決策の出力」までを高効率に推進することで、OpenClawの高い価値を持つセキュリティ脆弱性を的確かつ迅速に特定しました。 今後、360はAI脆弱性調査技術能力を継続的にアップグレードし、セキュリティスマートエージェントの、より多くの新興分野における大規模な導入を積極的に推進し、スマート経済時代のAI産業の高品質な発展を後押しします。 (編集責任者:姜永丹 ) 【免責事項】この記事は第三者の見解のみを示し、和訊(Hexun)の立場を代表するものではありません。投資家の方はこれに基づいて行動する場合、リスクはすべて自己負担となります。 【広告】この記事は執筆者本人の見解のみを示し、和訊(Hexun)とは関係ありません。和訊のウェブサイトは、記事内の主張、見解、判断について中立の立場を保ち、記事内に含まれる内容の正確性、信頼性、または完全性について、明示または黙示を問わずいかなる保証も提供しません。読者の皆さまは参考としてのみご利用ください。すべての責任はご自身で負ってください。メール:news_center@staff.hexun.com 通報
34万星システムが破防!360の脆弱性発掘AIがOpenClawの新たな高危険脆弱性を摘出
近日、360デジタルセキュリティグループは、自社で研究開発した360マルチエージェント協調型脆弱性調査システム(略称:360脆弱性調査スマートエージェント)を基盤に、GitHubで34万スターを獲得しているOpenClawプラットフォームにて、高危険度の脆弱性をついに発見しました——MEDIAプロトコルのPromptインジェクションによるツール権限のバイパスおよびローカルファイル漏えいの脆弱性です。この脆弱性は国家情報セキュリティ脆弱性データベース(CNNVD)により正式に確認されており、影響範囲は世界50を超える国・地域に及びます。さらに、17万件を超える公開アクセス可能なOpenClawインスタンスがセキュリティリスクにさらされています。これは、先に360がOpenClaw関連のセキュリティ脆弱性を発見し、OpenClawの創設者からの返信で確認を得たことに続く、スマートエージェントの脆弱性調査領域におけるさらなるブレークスルーであり、360がグローバルなAIスマートエージェントのセキュリティ分野で技術的にリードしていることを示しています。
360セキュリティの専門家によると、今回発見された高危険度の脆弱性は、OpenClaw 2026.3.13バージョンのコアであるメディア処理モジュールに存在し、攻撃のハードルが低い、影響範囲が広い、危害の度合いが大きいという3つの際立った特徴を兼ね備えています。この脆弱性の中核的なリスクは、MEDIAプロトコルが出力後処理層で動作するため、プラットフォームのツール戦略による制御を完全に回避できる点にあります。たとえAgentがすべてのツール呼び出しを無効化していても、攻撃者はグループチャットの基本メンバー権限だけで攻撃を開始でき、サーバーの機密情報を直接窃取することができ、続発するネットワーク攻撃を引き起こしやすくなります。
この脆弱性に対して360は、脆弱性攻撃チェーンの検証と実測を独自に完了し、その真実性と悪用可能性を十分に確認するとともに、プラットフォーム側の修復のための専門的な技術サポートと修復提案を提供しています。
また今回のOpenClaw高危険度の脆弱性の発見は、360グループの創設者である周鸿祎氏が2026年の全国両会の提案で述べた、「ハッカー・スマートエージェントの時代における安全動向」に関する先見的な判断を的確に裏づけるものです。同氏は、現在、大規模言語モデルは独立して思考し、ツールを熟練して使いこなすスマートエージェントへと進化しており、安全業界のルールを書き換えたと指摘しています。1つには、従来のセキュリティはルールの照合と人による審査に依存しているため、巧妙に隠れた高危険度の脆弱性を見つけにくく、セキュリティ専門家の不足により「発見が難しく、修復が遅い」という問題が生じています。もう1つには、ハッカー・スマートエージェントは7×24時間自動で攻撃でき、攻防が「人と人の対抗」から「人と機械の非対称な対抗」へとアップグレードされています。さらに、AI自身の脆弱性とインジェクションのリスクによって、デジタル上の脅威が物理世界へ波及する可能性があります。
業界の課題に直面し、360はセキュリティ分野に10年以上深く取り組み、AI技術を深く統合して、脆弱性対応、攻撃の追跡など一連のセキュリティスマートエージェントを構築し、重要な情報インフラ基盤などの分野で導入してきました。自動感知、調査・判断、応答能力を備えたセキュリティスマートエージェントにより能動的な防御体系を構築し、ハッカー・スマートエージェントの脅威に対して精密に対応します。
業界の多くの脆弱性スキャンツールが依然としてルールによる受動的なスキャン段階にとどまる中、360の脆弱性調査スマートエージェントは重要なブレークスルーを実現し、脆弱性調査を「ルール駆動」から「スマートな思考駆動」へと飛躍させました。本件OpenClawの脆弱性調査では、システムは観察者スマートエージェントによって統一的に運用され、攻撃面分析、AIコード監査、動的なペネトレーションなどの専門スマートエージェントが協調して作業し、標準化され、閉ループ化された脆弱性調査体系を形成しています。その中で、攻撃面分析スマートエージェントはビジネス上のすべての入口を特定し、ルールエンジンが危険なアンカーを正確に固定します。AIコード監査スマートエージェントはファイルをまたぎ、モジュールをまたぐ複雑な呼び出しチェーンを貫通して、従来のツールでは到達しにくい隠れた脆弱性を正確に発見します。
この一連のプロセスでは、高度なセキュリティ専門家の攻防に関する経験が、スマートエージェントの標準化された作業能力へと転換され、脆弱性を「発見」から「検証」へ、さらに「解決策の出力」までを高効率に推進することで、OpenClawの高い価値を持つセキュリティ脆弱性を的確かつ迅速に特定しました。
今後、360はAI脆弱性調査技術能力を継続的にアップグレードし、セキュリティスマートエージェントの、より多くの新興分野における大規模な導入を積極的に推進し、スマート経済時代のAI産業の高品質な発展を後押しします。
(編集責任者:姜永丹 )
【免責事項】この記事は第三者の見解のみを示し、和訊(Hexun)の立場を代表するものではありません。投資家の方はこれに基づいて行動する場合、リスクはすべて自己負担となります。
通報