4月7日消息,360漏洞挖掘智能体近期成功挖掘并上报了OpenClaw的3个高价值漏洞,其中包含1个高危、2个中危,目前这些漏洞都已经被官方修复并公开披露了。
这三个漏洞都直击OpenClaw的核心运行机制,会直接影响用户设备、数据和账号的核心安全。
其中的高危漏洞出在本地脚本审批执行环节,系统只看审批状态,不校验脚本内容是否被改,攻击者能在审批后替换代码,进而在用户电脑上执行非法操作,甚至实现整机控制、信息窃取。
两个中危漏洞也各有隐患,一个在OAuth授权流程里,私密校验参数被当成公开参数用,关键信息会随回调URL泄露,攻击者能借此窃取访问令牌,接管用户的谷歌相关服务。
另一个在语音通话的WebSocket数据处理环节,系统没校验数据合法性就处理超大数据包,攻击者可发送海量数据包耗尽系统资源,让设备卡顿、崩溃。
这次漏洞挖掘,是360靠漏洞挖掘智能体完成的,这也是其“用AI监管AI”“以模治模”安全理念的实际落地。
这款智能体和传统的漏洞扫描工具不一样,不靠规则驱动,而是靠智能思维驱动,能精准识别AI智能体的深层安全隐患,还能把安全研究员的攻防经验数字化、可复用。
文章来源:
我爱百科网
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至23467321@qq.com举报,一经查实,本站将立刻删除;如已特别标注为本站原创文章的,转载时请以链接形式注明文章出处,谢谢!
