文章总结： 360漏洞挖掘智能体在GitHub上34万星的OpenClaw平台中发现高危漏洞，该漏洞存在于媒体处理模块，可绕过工具权限控制导致本地文件泄露，影响全球超15万个实例。360通过多智能体协同完成漏洞发现与验证，推动漏洞挖掘从规则驱动向智能思维驱动转变，并已为平台方提供修复支持。 综合评分： 85 文章分类： 漏洞分析,AI安全,漏洞预警,解决方案,安全工具

34万星系统破防！360漏洞挖掘智能体揪出OpenClaw高危漏洞

360漏洞研究院 360漏洞研究院

360漏洞研究院

2026年3月30日 19:02 北京

news

近日，360数字安全集团依托自主研发的360多智能体协同漏洞挖掘系统（简称：360漏洞挖掘智能体），在GitHub斩获34万星的OpenClaw平台中成功发现一处高危漏洞——MEDIA协议Prompt注入绕过工具权限泄露本地文件漏洞。该漏洞被国家信息安全漏洞库（CNNVD）正式确认，影响范围覆盖全球50多个国家和地区，超15万个可公开访问的OpenClaw实例面临安全风险。360也成为业内首家依托漏洞挖掘智能体成功披露此类高价值漏洞的安全厂商，彰显了其在全球AI智能体安全领域的技术领先性。

漏洞解析

高危害、低门槛 多重风险直指智能体安全

据360安全专家介绍，本次发现的高危漏洞存在于OpenClaw 2026.3.13版本的核心媒体处理模块，兼具攻击门槛低、影响范围广、危害程度大三大显著特征。该漏洞的核心风险在于，MEDIA协议运行于输出后处理层，可完全绕过平台工具策略控制，即便将Agent配置为禁止所有工具调用，攻击者仍可仅凭群聊渠道的基础成员权限发起攻击，直接窃取服务器端大量敏感信息。此类信息一旦泄露，极易被用于后续网络攻击。

针对该漏洞，360已独立完成漏洞攻击链的验证与实测，充分确认其真实性与可利用性，并为平台方修复提供专业技术支持与修复建议。

“智能体对决”时代

AI漏洞挖掘成核心竞争力

当前，AI正深度重塑漏洞挖掘格局，挖掘效率与深度成为网络安全领域的核心力量。此次OpenClaw高价值漏洞的发现，精准印证了360集团创始人周鸿祎在2026年全国两会提案中，对黑客智能体时代安全趋势的前瞻性判断。他指出，大模型已进化为可独立思考、熟练使用工具的智能体，彻底改写安全行业规则，传统漏洞挖掘体系面临多重挑战。

一方面，传统安全措施智能化不足，漏洞检测过度依赖“规则匹配”与“人工审查”，难以识别隐蔽性强的高危漏洞，加上我国安全专家稀缺，导致漏洞“发现难、修复慢”的行业痛点愈发突出；另一方面，黑客智能体可批量复制、7×24小时自动攻击，网络攻防从“人与人对抗”升级为“人与机器的不对称对抗”。此外，AI自身存在漏洞与注入风险，可能导致数字威胁向物理世界蔓延，引发更大安全隐患。

针对这一系列挑战，360依托在安全领域十余年的实战积累与AI技术的深度融合能力，打造了漏洞处置、攻击溯源分析等系列安全智能体，并在关键信息基础设施等重点领域落地场景化应用。通过具备自动感知、研判、响应能力的安全智能体构建主动防御体系，精准应对黑客智能体威胁。

360漏洞挖掘智能体

实现AI漏洞挖掘新突破

当行业内多数漏洞挖掘工具仍停留在基于规则被动扫描、跟在漏洞后面追赶的阶段，360漏洞挖掘智能体已率先实现突破，让AI能够像高级安全专家一样自主思考，推动漏洞挖掘从“规则驱动”向“智能思维驱动”完成关键跃迁。

在本次OpenClaw漏洞挖掘工作中，360漏洞挖掘智能体通过全流程协同作业完成漏洞发现与验证。整体流程由观察者智能体统一编排调度，攻击面分析、AI代码审计、依赖扫描、环境构建、动态渗透、漏洞验证、报告生成等各专业智能体有序协作、分步推进，形成标准化、闭环化的漏洞挖掘体系。其中，攻击面分析智能体锁定业务所有入口，规则引擎精准锚定危险锚点；AI代码审计智能体穿透跨文件、跨模块复杂调用链，精准发现传统工具难以触及的隐藏漏洞。

整个过程将高级安全专家的攻防经验转化为智能体的标准化作业能力，实现了漏洞从发现、验证到解决方案输出的高效推进，精准且快速地定位了OpenClaw的高价值安全漏洞。

截至目前，360漏洞挖掘智能体已累计发现一系列大模型及智能体相关高危漏洞，并为全球AI产业安全发展提供关键技术支撑。未来，360将持续升级AI漏洞挖掘技术能力，积极推动安全智能体在更多新兴领域规模化落地，护航智能经济时代AI产业高质量发展。

“洞”悉网络威胁，守护数字安全

关于我们

360 漏洞研究院，隶属于360数字安全集团。其成员常年入选谷歌、微软、华为等厂商的安全精英排行榜, 并获得谷歌、微软、苹果史上最高漏洞奖励。研究院是中国首个荣膺Pwnie Awards“史诗级成就奖”，并获得多个Pwnie Awards提名的组织。累计发现并协助修复谷歌、苹果、微软、华为、高通等全球顶级厂商CVE漏洞3000多个，收获诸多官方公开致谢。研究院也屡次受邀在BlackHat，Usenix Security，Defcon等极具影响力的工业安全峰会和顶级学术会议上分享研究成果，并多次斩获信创挑战赛、天府杯等顶级黑客大赛总冠军和单项冠军。研究院将凭借其在漏洞挖掘和安全攻防方面的强大技术实力，帮助各大企业厂商不断完善系统安全，为数字安全保驾护航，筑造数字时代的安全堡垒。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：360漏洞研究院 360漏洞研究院 360漏洞研究院《34万星系统破防！360漏洞挖掘智能体揪出OpenClaw高危漏洞》