文章总结： 360数字安全集团发布OpenClaw生态安全风险分析报告，通过自研漏洞挖掘智能体审计发现23个独立安全漏洞，涵盖远程代码执行、认证绕过等高危类型。报告指出AI智能体在代码开发、数据处理等高权限场景下面临系统性安全风险，传统边界防御已不足应对，建议采用Agent对抗Agent范式进行全流程自动化审计，从源头构建防护体系。 综合评分： 85 文章分类： 漏洞分析,AI安全,供应链安全,安全建设,解决方案

360发布“龙虾”生态安全报告：23个漏洞覆盖10余款产品，智能体安全风险蔓延全行业

360数字安全

2026年5月12日 18:06 北京

在小说阅读器读本章

去阅读

近日，360数字安全集团发布《OpenClaw生态安全风险分析》报告，首次系统性地对AI智能体生态安全问题进行“家底盘点”。

通过自研漏洞挖掘智能体对OpenClaw核心及10款主流衍生产品展开深度安全审计，从原生架构特征与防护失效、供应链安全债传递、开源自研安全挑战三大维度，完成对龙虾生态核心安全风险的系统剖析，累计发现23个独立安全漏洞，涵盖远程代码执行、认证绕过、权限提升、信息泄露等多种高危类型。

目前，所有漏洞均已反馈至相关厂商与开发者跟进修复，并上报国家信息安全漏洞库（CNNVD）、国家信息安全漏洞共享平台（CNVD）等权威机构。

报告指出，以OpenClaw为代表的“龙虾类”智能体产品，正在快速渗透至代码开发、数据处理、终端运维等高价值场景。这类产品的核心特点是“替用户干活”，它需要获取文件读写、网络服务调用、系统命令执行等高权限，才能真正完成复杂任务。

OpenClaw生态图概览

问题在于，当这些具备高权限能力的智能体运行在不可信网络环境中，失控的风险将被急剧放大。报告显示，OpenClaw GitHub已累计披露超过535个安全公告，仅2026年第一季度后，相关安全通告新增数量已达到日均4条以上。更值得警惕的是，这些漏洞并非孤立的代码错误，而是呈现出典型的“多米诺效应”——认证边界、网络边界、执行边界、控制边界四层防线高度耦合，任何单一维度的突破都可能引发连锁崩塌。

OpenClaw生态安全报告增长曲线图

随着OpenClaw作为核心技术基座被广泛落地，智能体生态的安全风险正在通过代码继承和功能叠加向全行业扩散。一方面，部分衍生产品直接打包OpenClaw核心组件，当上游出现安全修复时，下游往往缺乏快速响应的渠道，形成“补丁时间差”；另一方面，为追求差异化竞争而引入的新功能模块，往往缺乏充分的安全审计，反而带来了新的攻击敞口。

报告同时借助360漏洞挖掘智能体在语义级代码理解、跨文件数据流追踪与逻辑推理能力，对多款开源自研产品进行了安全审计，发现即使完全脱离OpenClaw代码库，仅因沿用相同的设计范式，同类漏洞依然高频出现。有些产品为了修补已知安全缺陷而专门新增了防护机制，结果却由于安全设计缺陷，反而制造了新的漏洞。

报告认为，当前AI智能体安全面临的核心挑战，不再是单点漏洞修复，而是功能快速迭代过程中系统性安全风险的持续扩散。传统的边界防御思路，在面对高自主性的智能体系统时已明显力不从心。

360漏洞挖掘智能体的实战表明，要真正解决智能体生态的安全问题，必须用“Agent对抗Agent”的创新范式展开全流程自动化审计。它不仅能够帮助开发者识别上游遗留漏洞、阻断风险在软件供应链中的扩散，更能深入审计产品自身代码中的安全问题，从源头构建更稳固的防护体系。

此次报告基于360漏洞挖掘智能体实践所沉淀的漏洞分布形态与风险演进路径，不仅是对当前Claw生态的一次全面安全体检，更将为我国未来大规模智能体系统的安全建设提供可落地的工程参考与防御支撑。

点击下方【阅读原文】，获取完整报告

往期推荐

| | | | | | — | — | — | — | | | | | | — | — | | 01 | ● 2026两会观察 | 周鸿祎为智能体人才培养献策，360先行落地 | | ► 点击阅读 | | | | | | | — | — | | 02 | ●  覆盖亿级用户！360发现全球高危漏洞 漏洞挖掘智能体首次披露 | | ► 点击阅读 | | | | | | | — | — | | 03 | ● 国内首个！360推出Wmansvcs勒索软件专用解密服务 | | ► 点击阅读 | | | | | | | — | — | | 04 | ● 360亮相2026世界互联网大会亚太峰会 智能体成果引行业关注 | | ► 点击阅读 | |

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：360数字安全 《360发布“龙虾”生态安全报告：23个漏洞覆盖10余款产品，智能体安全风险蔓延全行业》