当前位置: 首页
科技数码
360智能体升级漏洞挖掘能力 披露20余个龙虾漏洞详情

360智能体升级漏洞挖掘能力 披露20余个龙虾漏洞详情

热心网友 时间:2026-05-16
转载

AI智能体(AI Agent)正深度融入办公自动化、编程开发、数据分析及设备控制等关键业务场景,在显著提升生产效率的同时,也使得一个严峻的挑战日益凸显:AI生态所面临的安全威胁正在加速显现。近日,360数字安全集团发布的《OpenClaw生态安全风险分析》研究报告,为我们揭示了这一问题的紧迫性。 报

AI智能体(AI Agent)正深度融入办公自动化、编程开发、数据分析及设备控制等关键业务场景,在显著提升生产效率的同时,也使得一个严峻的挑战日益凸显:AI生态所面临的安全威胁正在加速显现。近日,360数字安全集团发布的《OpenClaw生态安全风险分析》研究报告,为我们揭示了这一问题的紧迫性。

报告披露,360的漏洞挖掘智能体已完成能力升级,正式迈入AI智能体生态自动化安全审计的新阶段。在对OpenClaw及其10款衍生智能体产品进行系统性安全评估的过程中,该平台累计自动化发现了超过20个安全漏洞,风险类型覆盖远程命令执行、权限绕过、敏感信息泄露以及恶意指令注入等多个关键维度。

目前,所有已识别的相关漏洞信息均已同步反馈至对应厂商与开发者,以协助其完成修复,并正式上报至国家信息安全漏洞库(CNNVD)及国家信息安全漏洞共享平台(CNVD)等权威机构。

具备“执行能力”的AI,也意味着更广泛的安全攻击面

报告指出了一个核心趋势:为增强任务执行效能,当前许多“智能体”正在广泛集成浏览器控制、文件系统访问、代码工具调用及各类网络服务API。这种从“信息交互”到“实际操作”的能力进化,虽是技术飞跃,却也同步将潜在的攻击面扩大了数倍。部分已发现漏洞的潜在危害极高,可能导致攻击者远程操控AI智能体,进而威胁到用户终端设备乃至企业内部网络系统的安全。

具体分析,其风险点颇具代表性。例如,部分智能体产品存在本地服务接口不当暴露、权限验证机制不健全等缺陷。这意味着,攻击者可通过构造恶意网络请求或伪造操作指令,轻易干扰智能体的正常决策逻辑,诱导其执行危险操作。更值得关注的是,部分产品在关键任务执行链路上缺乏必要的安全校验,执行内容存在被恶意篡改的风险。其后果不仅可能导致浏览器被劫持或用户隐私数据泄露,在极端情况下,被攻陷的智能体甚至可能成为攻击者渗透企业内网的“跳板”。

360安全专家对此深有体会。他们指出,相较于传统软件漏洞,AI智能体的安全风险图谱更为复杂。传统漏洞通常局限于特定功能模块,而智能体系统则持续处理动态的外部输入,并依据环境变化自主做出决策。许多时候,风险并非源于单一的代码缺陷,而是模型推理、工具调用、权限管理、网络通信等多个环节相互作用后,形成的“系统性安全风险”。

从“自动化扫描工具”到“智能安全分析专家”

面对此类新型复合风险,传统安全检测方法已显乏力。这正是360漏洞挖掘智能体此次能力升级的核心价值所在。升级后的系统,不仅能够自动化挖掘代码层面的安全漏洞,更重要的是,它能深度理解AI智能体的运行逻辑、解析其行为链路,并自动化构建出完整的攻击验证路径。可以说,它已超越了传统漏洞扫描工具的范畴,演进为一位能够自动化研究AI系统安全问题的“智能安全分析专家”。

该报告同时揭示了当前行业的一个普遍现状:随着AI辅助编程、“Vibe Coding”等敏捷开发模式的流行,大量智能体产品追求快速上线与迭代。然而,在速度优先的策略下,安全考量往往被置于次要位置。一些基础性安全缺陷会随着开源框架、通用插件及二次开发过程被不断复制,最终累积形成规模庞大的新型“技术安全债务”。

安全能力边界持续拓展

值得关注的是,此次对OpenClaw生态的成功安全审计,标志着360漏洞挖掘智能体的能力边界实现了又一次关键性突破。在此之前,该系统已在Windows操作系统、Office办公套件、国产操作系统、安卓系统、电子邮件服务器、物联网设备、OA系统等核心领域证明了其强大的自动化漏洞挖掘能力,累计发现漏洞近千个。如今,其能力已成功从传统软件领域延伸至AI智能体生态的安全评估,实现了对复杂智能体系统的全面风险覆盖。

行业观察家普遍认为,随着AI智能体被授予更高的系统权限和工具调用能力,AI安全的风险范畴早已超越传统软件漏洞的范畴。风险正沿着AI应用生态、工具调用链和权限体系快速扩散。在此背景下,拥有对复杂AI系统进行自动化深度安全审计的能力,无疑是一项具备战略意义的关键技术,甚至被业界类比为AI时代的“网络安全基石技术”。

毋庸置疑,技术发展的终极目标是护航产业前行。正如360研究人员所强调的,其核心目标是通过“以AI治理AI风险”的方式,前瞻性地发现并协助修复AI生态中的安全隐患,从而推动整个智能体产业在安全、可靠、可控的坚实基础上行稳致远。

来源:https://www.itbear.com.cn/html/2026-05/1335421.html

游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。

同类文章
更多
地下室发现尘封12年AMD前CEO旧PC苏姿丰签名推土机硬件

地下室发现尘封12年AMD前CEO旧PC苏姿丰签名推土机硬件

一位技工在客户家地下室发现一台属于AMD前CEORoryRead的旧PC,机箱上留有苏姿丰等高管签名,配置为推土机时代硬件且从未开机。这台电脑封存了AMD从推土机失败到Zen架构崛起的关键转折历史。

时间:2026-07-10 10:06
Laravel 12生态成熟助力全栈开发效率提升

Laravel 12生态成熟助力全栈开发效率提升

Laravel12延续开发体验优势,在项目结构、查询构建、API开发、调试及性能上持续优化。其生态日趋成熟,形成Reverb、Pulse等完整工具链,覆盖API、SaaS、企业后台及AI应用开发。与Next js的组合逐渐流行,Laravel已演变为现代Web开发平台,保持社区活力。

时间:2026-07-10 10:06
Linux内核持续演进:Rust语言与零拷贝网络成新焦点

Linux内核持续演进:Rust语言与零拷贝网络成新焦点

LinuxKernel6 15重大更新:Rust驱动正式入主线,NOVADRM成为首个实践案例;io_uring新增零拷贝网络接收,降低CPU开销与延迟;Btrfs增强实时zstd压缩、DirectIO及稳定性。内核同步推进安全化与高性能网络化。

时间:2026-07-10 10:06
谷歌Gemini进入Agent时代 打造全天候AI助理

谷歌Gemini进入Agent时代 打造全天候AI助理

Google推出GeminiSpark、Omni等新功能。Spark可全天候在后台运行,主动处理邮件、日历等任务;Omni侧重视频理解与环境推理,布局世界模型。AI正从被动回答转向主动观察、规划与执行,标志着竞赛进入新阶段。

时间:2026-07-10 10:05
CPU-Z 2.20.2正式版发布 支持Intel三大平台及AMD锐龙AI Max

CPU-Z 2.20.2正式版发布 支持Intel三大平台及AMD锐龙AI Max

CPU-Z2 20 2正式版发布,新增支持IntelPantherLake、WildcatLake、BartlettLake三大架构及AMD锐龙AIMax、Pro系列,加入锐炫G3识别库,修复缓存错误和锐龙77700X3D检测问题,免费下载。

时间:2026-07-10 10:05
热门专题
更多
刀塔传奇破解版无限钻石下载大全 刀塔传奇破解版无限钻石下载大全
洛克王国正式正版手游下载安装大全 洛克王国正式正版手游下载安装大全
思美人手游下载专区 思美人手游下载专区
好玩的阿拉德之怒游戏下载合集 好玩的阿拉德之怒游戏下载合集
不思议迷宫手游下载合集 不思议迷宫手游下载合集
百宝袋汉化组游戏最新合集 百宝袋汉化组游戏最新合集
jsk游戏合集30款游戏大全 jsk游戏合集30款游戏大全
宾果消消消原版下载大全 宾果消消消原版下载大全
  • 热门数据榜