嘿,最近OpenClaw出了个大新闻,创始人Peter都亲自确认了。360那边发现了一个特别严重的漏洞,Gateway那的WebSocket权限验证根本就没起作用。也就是说,有人能随便绕过检查,直接把网关给控制住,搞不好就能让系统崩溃。 现在360已经把这个情况上报给了国家那个叫CNVD的漏洞平台,算是帮大家堵住了一个大窟窿。毕竟现在AI应用越来越复杂,安全风险也从算法层扩散到了接口和权限这一块。周鸿祎之前就提过“以模治模”的想法,意思是得用技术手段盯着智能体的全流程。 为了应对这些问题,360弄了个“双轨制”的方案。给企业搞了个“龙虾保”平台,专门去扫描环境里有哪些风险点;给咱们个人用户也有“安全龙虾”,通过环境隔离和权限控制来降低风险。他们的“龙虾卫士”现在已经能实时挡住威胁了。 团队也说了,以后会持续研究OpenClaw这个生态系统,把漏洞发现、验证、修复这套流程弄成闭环。接下来重点要攻关接口防护和技能库审计这些关键技术,给行业弄个更靠谱的防御体系。现在相关的检测工具也都向开发者开放申请了,个人防护方案也全平台覆盖了。