AI安全警钟：OpenClaw漏洞曝光

中国网络安全公司360的最新发现震惊了整个AI界。他们专业的漏洞检测系统在这个流行的OpenClaw AI代理中发现了三个重大安全缺陷，其中包括一个特别危险的漏洞——攻击者可能借此完全控制用户设备。

漏洞详解

最严重的问题涉及脚本审批机制。攻击者可修改已批准的脚本来执行未授权代码——本质上将受信任的流程变成黑客的游乐场。想象一下你允许某人给你的植物浇水，结果发现对方利用这个权限复制了你家的钥匙。

另外还发现了两个中等风险漏洞：

• 可能危及用户Google账户的OAuth授权缺陷
• 语音通话期间可能导致设备崩溃的WebSocket资源管理问题

"这些不仅仅是表面层的错误，"一位不愿透露姓名的360安全研究员解释道，"它们直指AI代理处理权限和协议的核心方式——从安全角度来看，我们才刚刚开始理解这些领域。"

比普通扫描器更智能

这一发现之所以引人注目，不仅在于漏洞本身，还在于它们的发现方式。360的系统不依赖传统的基于规则的扫描。相反，它模拟人类安全专家的直觉方法，同时自动化了漏洞检测中繁琐的部分。

可以把它想象成训练一只血猎犬与使用金属探测器的区别。一个遵循预定义的模式，而另一个则根据经验和本能嗅探问题。

这对AI未来的重要性

随着AI代理越来越多地处理敏感任务——从安排会议到进行购买——它们的安全性成为每个人的关注点。这些发现表明，当前的防护措施可能跟不上AI能力的快速发展步伐。

一线希望？像360这样的自动化系统可以通过持续测试AI应用来帮助缩小这一差距——其速度和规模是人类团队根本无法匹敌的。

关键点：

• 高风险漏洞允许通过脚本篡改执行未授权代码
• 在OAuth授权和WebSocket管理中发现另外两个缺陷
• 漏洞凸显了AI代理安全设计中的基本挑战
• 检测系统使用智能自动化而非传统扫描方法
• 研究结果强调了随着AI更深融入工作流程需要更强大的安全性