360发布OpenClaw生态安全报告：AI智能体漏洞自动化审计揭示系统性风险

事件概述

360数字安全集团发布《OpenClaw生态安全风险分析》报告，首次系统性地对以OpenClaw为代表的AI智能体生态安全问题进行审计。报告基于自研漏洞挖掘智能体，从原生产品架构、供应链安全传递、开源自研挑战三个维度展开分析。

核心信息

• 累计发现23个独立安全漏洞，涵盖远程代码执行、认证绕过、权限提升、信息泄露等类型。所有漏洞已反馈至相关厂商并上报CNNVD、CNVD。
• OpenClaw GitHub已累计披露超过535个安全公告，2026年第一季度后日均新增4条以上。
• 漏洞呈现“多米诺效应”，认证边界、网络边界、执行边界、控制边界四层防线高度耦合，单一维度突破可引发连锁崩塌。
• 衍生品直接打包OpenClaw核心组件，上游修复后下游存在“补丁时间差”；新功能模块缺乏充分安全审计，引入新攻击敞口。
• 即便完全脱离OpenClaw代码库，仅因沿用相同设计范式，同类漏洞仍高频出现；部分防护机制因安全设计缺陷反而产生新漏洞。

值得关注

报告认为，当前AI智能体安全的核心挑战是功能快速迭代中系统性风险的持续扩散，传统边界防御已力不从心。360建议采用“Agent对抗Agent”的漏洞挖掘智能体进行全流程自动化审计，帮助开发者阻断供应链风险并深入审计产品自身安全。此次报告为未来大规模智能体系统安全建设提供了工程参考。