360发现OpenClaw高危零日漏洞，获创始人官方确认

AI智能体生态快速发展的同时，底层安全隐患也随之暴露。近日，360安全云团队收到OpenClaw创始人Peter的官方邮件，Peter在回信中，正式确认了由360团队独家发现的OpenClaw Gateway WebSocket无认证升级漏洞，这一高危漏洞的曝光，也为整个AI智能体行业的安全防护敲响了警钟。

漏洞性质：高危零日漏洞，可静默绕过权限控制

此次经创始人确认的漏洞，属于零日（0Day）漏洞，具备极高的安全风险。该漏洞存在于OpenClaw网关的WebSocket通信环节，核心问题在于连接升级过程未设置严格的权限认证机制。

攻击者可利用这一漏洞，通过WebSocket通道静默绕过所有权限校验环节，无需合法凭证即可直接获取智能体网关的完整控制权。一旦成功入侵，攻击者可随意操控网关运行，进而导致目标系统出现资源耗尽、服务异常，甚至引发系统全面崩溃，对使用OpenClaw框架的设备与平台形成严重威胁。

目前，360安全云团队已第一时间将该高危漏洞的详细信息，同步报送至国家信息安全漏洞共享平台（CNVD），协助全行业快速排查风险、切断隐患源头，避免漏洞被恶意利用。

行业警示：智能体安全风险全面延伸，共性隐患凸显

这一漏洞的出现，并非单一产品的个例问题，而是折射出当前AI智能体行业的整体安全趋势。随着智能体从单纯的自然语言对话工具，逐步升级为具备自主执行能力的实操系统，其安全风险不再局限于AI模型层面，而是快速向底层接口、技能调用链路、系统权限管控等多个环节延伸。

业内普遍认为，当下行业内“养虾”（AI智能体搭建与运行）过程中，存在多项共性安全隐患：公网暴露的接口缺乏严密防护、恶意技能插件投毒风险、提示词注入攻击，以及智能体执行行为缺乏全程审计机制，这些问题都可能成为攻击者的突破口，引发系统性安全事故。