OpenClaw再现高危漏洞超17万实例存安全风险

中经记者李静北京报道

近日，360数字安全集团通过自主研发的多智能体协同漏洞挖掘系统，在GitHub平台拥有34万星的OpenClaw中发现一处高危漏洞，该漏洞已被国家信息安全漏洞库（CNNVD）正式确认，其影响范围覆盖全球50多个国家和地区，超17万个可公开访问的OpenClaw实例面临安全风险。

据360安全专家介绍，此次发现的高危漏洞为MEDIA协议Prompt注入绕过工具权限泄露本地文件漏洞，存在于OpenClaw 2026.3.13版本的核心媒体处理模块，具备攻击门槛低、影响范围广、危害程度大的特征。

据了解，该漏洞的核心风险点在于MEDIA协议运行于输出后处理层，可直接绕过平台工具策略控制，即便Agent禁用所有工具调用，攻击者仅凭借群聊基础成员权限即可发起攻击，进而直接窃取服务器敏感信息，易引发后续连锁网络攻击行为。

针对该漏洞，360方面已完成漏洞攻击链的验证与实测，确认了漏洞的真实性与可利用性，并为OpenClaw平台方的漏洞修复工作提供了技术支持与修复建议。这也是继此前360发现OpenClaw相关安全漏洞并获其创始人回信确认后，在智能体漏洞挖掘领域的又一发现。

此次OpenClaw高危漏洞的出现，也印证了当前AI智能体领域的安全隐患，凸显出AI技术发展过程中安全防护的重要性。当前大模型已进化为可独立思考、熟练使用工具的智能体，这一变化也改写了安全行业的原有规则。

传统安全防护模式依赖规则匹配与人工审查，在面对隐蔽性较高的高危漏洞时存在检测短板，同时安全专家的稀缺也导致漏洞发现与修复的效率受限；而黑客智能体可实现7×24小时自动攻击，让网络攻防从传统的人与人对抗，升级为人与机器的不对称对抗，此外AI自身存在的漏洞与注入风险，还可能让数字领域的安全威胁向物理世界蔓延，给行业安全防护带来全新挑战。

随着AI智能体在各领域的应用不断深入，其安全防护已成为行业发展的重要课题。此次OpenClaw高危漏洞的发现，也为行业敲响了警钟，推动AI产业在技术发展的同时，进一步重视安全体系的构建与完善，通过技术手段提升漏洞挖掘与安全防护能力，应对AI时代的全新安全挑战。

来源：《中国经营报》

编辑：张靖超

校对：翟军

审核：李正豪