---
title: "OpenClaw 之父回信确认漏洞，360 为全行业 “养虾人” 筑牢安全防线"
type: "News"
locale: "zh-CN"
url: "https://longbridge.com/zh-CN/news/280047603.md"
description: "360 安全云团队确认了 OpenClaw Gateway WebSocket 无认证升级漏洞，已报送至国家信息安全漏洞共享平台。该漏洞为零日漏洞，攻击者可绕过权限认证，控制智能体网关，可能导致系统崩溃。360 提出 “用 AI 监督 AI” 的策略，推出智能体安全检测能力，降低安全风险。此次漏洞确认显示国内安全团队在智能体风险识别方面取得进展，为智能体应用生态提供安全参考。"
datetime: "2026-03-22T09:15:37.000Z"
locales:
  - [zh-CN](https://longbridge.com/zh-CN/news/280047603.md)
  - [en](https://longbridge.com/en/news/280047603.md)
  - [zh-HK](https://longbridge.com/zh-HK/news/280047603.md)
---

# OpenClaw 之父回信确认漏洞，360 为全行业 “养虾人” 筑牢安全防线

近日，360 安全云团队收到 OpenClaw 创始人 Peter 的官方邮件。在回信中，Peter 正式确认了由 360 团队独家发现的 OpenClaw Gateway WebSocket 无认证升级漏洞。目前，360 已将该高危漏洞同步报送至国家信息安全漏洞共享平台（CNVD），协助全网第一时间切断风险源头。

此次确认的 WebSocket 无认证升级漏洞属于零日（0Day）漏洞，攻击者可利用该漏洞通过 WebSocket 静默绕过权限认证，获取智能体网关控制权，进而可能导致目标系统资源耗尽或全面崩溃。

这一漏洞也再次提醒行业：随着智能体从 “对话工具” 走向 “执行系统”，其安全风险正从模型层快速延伸至接口层、技能调用链与系统权限层。公网暴露接口、恶意 Skill 投毒、提示词注入以及行为缺乏审计机制，正在成为全行业 “养虾” 过程中的共性隐患。正如 360 集团创始人周鸿祎此前提出，智能体时代需要坚持 “以模治模”，通过安全能力对智能体运行全过程进行约束与监测。

围绕上述风险，360 确立了 “用 AI 监督 AI、以 Skill 治理 Skill” 的核心策略，并已面向企业与开发者推出智能体部署安全检测与风险排查能力（即 “360 安全云·龙虾保”），对运行环境暴露面、高危漏洞及恶意 Skill 引入风险进行精准识别。同时，360 也上线了面向个人用户的一体化解决方案 “360 安全龙虾” 及其内置组件 “360 龙虾卫士”，通过隔离运行环境与严格的权限控制机制，大幅降低智能体本地使用过程中的安全不确定性。

业内人士认为，此次漏洞获得原作者邮件确认，显示国内安全团队已开始在智能体核心执行链路层形成实质性的风险识别能力，这也为当前快速发展的智能体应用生态提供了重要的安全参考。

360 安全云团队表示，未来 360 将持续跟进 OpenClaw 生态的漏洞挖掘与修复支持，推进智能体应用的实战化防御。

### 相关股票

- [601360.CN](https://longbridge.com/zh-CN/quote/601360.CN.md)

## 相关资讯与研究

- [360 安全龙虾全新发布：“龙虾教练” 亮相，10 分训好一只 “虾”](https://longbridge.com/zh-CN/news/286347992.md)
- [360 发布 OpenClaw 生态安全报告：AI 智能体风险进入自动化审计阶段](https://longbridge.com/zh-CN/news/286075764.md)
- [HRBP，AI 时代真正的 “铁饭碗”](https://longbridge.com/zh-CN/news/286866050.md)
- [如何创建一家 AI Native 公司？](https://longbridge.com/zh-CN/news/286666891.md)
- [为什么我总是让客户问 AI](https://longbridge.com/zh-CN/news/286935416.md)