Fundador do OpenClaw responde confirmando vulnerabilidade, equipa de segurança na nuvem 360: continuará acompanhando a descoberta e suporte de correção de vulnerabilidades do ecossistema OpenClaw

新浪科技讯 22 de março à tarde, a equipa de segurança em nuvem da 360 recebeu um email oficial do fundador da OpenClaw, Peter. Na resposta, Peter confirmou oficialmente a vulnerabilidade de atualização do WebSocket Gateway OpenClaw sem autenticação, descoberta exclusivamente pela equipa da 360. Atualmente, a 360 já reportou esta vulnerabilidade de alto risco ao Plataforma Nacional de Compartilhamento de Vulnerabilidades de Segurança da Informação (CNVD), ajudando a cortar a fonte do risco na primeira hora em toda a rede.

Esta vulnerabilidade de atualização do WebSocket sem autenticação é uma vulnerabilidade zero-day (0Day), que permite a um atacante contornar silenciosamente a autenticação de permissões via WebSocket, obter controlo sobre o gateway do agente inteligente, podendo levar ao esgotamento de recursos do sistema alvo ou ao seu colapso total.

Esta vulnerabilidade também reforça a necessidade do setor: à medida que os agentes inteligentes evoluem de “ferramentas de diálogo” para “sistemas de execução”, os riscos de segurança estendem-se rapidamente desde a camada do modelo até às interfaces, cadeias de chamadas de habilidades e níveis de permissões do sistema. Interfaces expostas na rede pública, envenenamento malicioso de Skills, injeção de palavras-chave e falta de mecanismos de auditoria de comportamento estão a tornar-se riscos comuns na fase de “cultivo de camarões” de toda a indústria. Como anteriormente sugerido por Zhou Hongyi, fundador do Grupo 360, na era dos agentes inteligentes é necessário manter a abordagem “modelo contra modelo”, usando capacidades de segurança para restringir e monitorizar todo o processo de funcionamento do agente inteligente.

Para enfrentar estes riscos, a 360 estabeleceu a estratégia central de “supervisão de IA por IA, governança de Skills por Skills”, e lançou capacidades de deteção de segurança na implantação de agentes inteligentes e de investigação de riscos (conhecido como “360 Segurança em Nuvem·Lobster Protection”), permitindo a identificação precisa de exposições ambientais, vulnerabilidades de alto risco e riscos de envenenamento de Skills maliciosas. Além disso, a 360 lançou uma solução integrada para utilizadores individuais, “360 Segurança Lobster” e o seu componente incorporado “360 Lobster Guard”, que, através do isolamento do ambiente de execução e de mecanismos rigorosos de controlo de permissões, reduz significativamente a incerteza de segurança durante o uso local do agente inteligente.

A equipa de segurança em nuvem da 360 afirmou que, no futuro, continuará a acompanhar a exploração e correção de vulnerabilidades no ecossistema OpenClaw, promovendo uma defesa prática das aplicações de agentes inteligentes.