近日，360安全云团队获得OpenClaw创始人Peter的官方回信，正式确认了由360团队发现的OpenClaw Gateway WebSocket无认证升级漏洞。目前，360已将该高危漏洞信息同步报送至国家信息安全漏洞共享平台（CNVD），以协助全行业及时防御。

　　据介绍，该漏洞被确认为零日漏洞，攻击者可利用其通过WebSocket协议静默绕过权限认证，直接获取智能体网关控制权，进而可能导致目标系统资源耗尽甚至全面崩溃，威胁极大。

　　事件背后，折射出智能体（AI Agent）从“对话工具”迈向“执行系统”过程中，所面临的全新安全挑战。风险正从模型层快速延伸至接口层、技能调用链与系统权限层。公网暴露接口、恶意Skill（技能）投毒、提示词注入以及行为缺乏审计机制，已成为行业“养虾”（指培育、使用智能体）过程中的共性隐患。

　　360方面表示，未来将持续跟进OpenClaw等生态的漏洞挖掘与修复支持，推动智能体应用的实战化安全防御体系建设。