文章总结： 360漏洞挖掘智能体在OpenClaw中发现1个高危和2个中危漏洞，高危漏洞存在于脚本审批环节未校验内容篡改，中危漏洞涉及OAuth参数泄露和WebSocket资源耗尽。这些漏洞直接影响用户设备、数据与账号安全，体现360通过AI智能体实现’以模治模’的安全理念，推动安全专家从重复劳动转向核心攻防研究。 综合评分： 85 文章分类： 漏洞分析,AI安全,渗透测试,安全工具,安全运营

涉及1高危，2中危！360再曝OpenClaw高价值漏洞

360数字安全

2026年4月7日 18:22 北京

近期，360漏洞挖掘智能体持续深耕AI智能体安全领域，针对OpenClaw 成功新挖掘并上报1个高危、2个中危共3个高价值漏洞，目前所有新发现漏洞均已被官方修复并公开披露，以硬核实战成果落地“以模治模”、“用AI监管AI”的安全理念。

此次新发现的三大漏洞均直指AI智能体核心运行机制，安全风险直接影响用户设备、数据与账号的核心安全，危害清晰且直观。

其中，高危漏洞存在于本地脚本审批与执行环节，系统仅对脚本审批状态进行判断，未校验脚本内容是否被篡改，攻击者可在脚本通过审批后恶意替换代码，进而在用户电脑上执行非法操作，实现信息窃取、文件修改甚至整机控制；

一处中危漏洞藏于 OAuth 手动粘贴授权流程，因开发者将本地私密安全校验参数直接复用为公开参数，关键校验信息会随回调 URL 泄露，攻击者可通过剪贴板、网络代理等方式窃取该信息，轻松获取访问令牌并接管用户关联的 Google 服务，对用户账号安全与数据隐私形成严重威胁；

另一处中危漏洞则出现在语音通话WebSocket数据处理流程，系统未提前校验数据合法性便直接处理超大数据包，攻击者可通过发送海量大数据包耗尽系统资源，造成设备卡顿、崩溃，导致正常服务无法使用。

当前，AI智能体快速普及，网络攻防已迈入“智能体对抗智能体”的全新阶段，AI应用自身安全成为数字安全的核心挑战。360依托二十余年网络安全实战积累与AI技术深度融合，打造出行业领先的漏洞挖掘智能体体系，已累计发现多款主流AI智能体的高价值安全漏洞。

三大漏洞的连续发现与上报，不仅体现了360漏洞挖掘智能体的超高效率与精准度，更重新定义了AI时代漏洞挖掘的核心价值。

区别于传统规则式漏洞扫描工具，360漏洞挖掘智能体实现了从规则驱动到智能思维驱动的跨越，可精准识别AI智能体中授权逻辑缺陷、资源管控漏洞、协议实现风险等深层隐患。而其更具里程碑意义的价值在于：让安全研究员沉淀多年的攻防直觉与领域经验，第一次拥有了可沉淀、可复用、可持续进化的数字化载体。过去大量重复、机械的漏洞排查、验证、复现等基础工作，如今可交由漏洞挖掘智能体高效完成，安全专家得以从繁琐的重复性劳动中解放，回归到最具创造力的攻防研究、规则设计、风险研判核心战场，真正实现人力价值与技术能力的最大化释放。

这正是“用AI监管AI”的核心落地：以安全智能体对抗AI智能体的潜在风险，用AI补齐新一代AI应用的安全短板，构建“机器高效执行、专家专注创新”的全新安全作业模式。

未来，360将持续升级漏洞挖掘智能体能力，聚焦AI智能体、大模型等新兴安全领域，深化“以模治模”理念，以更精准、高效的智能攻防体系，为AI智能体生态筑牢安全底座，护航智能时代数字安全。

往期推荐

| | | | | | — | — | — | — | | | | | | — | — | | 01 | ● 2026两会观察 | 周鸿祎为智能体人才培养献策，360先行落地 | | ► 点击阅读 | | | | | | | — | — | | 02 | ●  360龙虾卫士重磅上线：九大能力专治OpenClaw“裸奔” | | ► 点击阅读 | | | | | | | — | — | | 03 | ● IDC双报告首推：360以绝对实力护航每只“龙虾”安全 | | ► 点击阅读 | | | | | | | — | — | | 04 | ● 360安全龙虾「养虾速成课」正式上线ISC.AI学苑！ | | ► 点击阅读 | |

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：360数字安全 《涉及1高危，2中危！360再曝OpenClaw高价值漏洞》