360漏洞挖掘智能体查获OpenClaw高危漏洞 推动AI安全审计范式升级

2026年4月7日，360漏洞挖掘智能体宣布成功发现并上报AI智能体OpenClaw的3项安全漏洞，包含1个高危漏洞、2个中危漏洞，目前所有漏洞均已获得官方修复并公开披露。该成果标志着AI安全审计正式完成从规则驱动到智能思维驱动的范式跨越，为当前AI原生应用的安全治理体系建设提供了关键技术支撑。

此次曝光的高危漏洞聚焦于OpenClaw的本地脚本审批与执行机制，攻击者可绕过二次校验环节，直接篡改已通过平台审核的脚本内容，实现恶意代码的静默执行，最终完全控制用户的终端设备。

两处同步披露的中危漏洞同样影响范围广泛：一处为OAuth手动授权流程中的安全校验参数复用漏洞，攻击者可利用该缺陷接管用户的Google服务账号权限；另一处为语音通话WebSocket数据处理环节的资源管控缺陷，极端情况下可引发系统资源耗尽、设备直接崩溃。

不同于常规应用的表面漏洞，本次发现的3项漏洞均直指AI智能体的核心运行逻辑，暴露出当前主流智能体产品普遍存在的权限隔离不足、协议实现不严谨等深层安全短板。

此前行业的自动化安全审计普遍采用规则驱动模式，只能匹配已知的漏洞特征，对AI原生应用中大量存在的未知逻辑漏洞几乎没有识别能力，安全防护始终滞后于攻击手段的迭代。