导读：360 漏洞挖掘智能体最新发现 3 个高价值安全漏洞，涉及本地脚本审批、OAuth 授权及语音通话数据处理，现已全部修复并公开。高危漏洞可致设备被控，两项中危漏洞可导致服务被接管、设备资源耗尽崩溃，直接威胁账号、数据与设备安全。

4 月 7 日消息，360 漏洞挖掘智能体近期成功挖掘并上报了 OpenClaw 的 3 个高价值漏洞，其中包含 1 个高危、2 个中危，目前这些漏洞都已经被官方修复并公开披露了。

其中的高危漏洞出在本地脚本审批执行环节，系统只看审批状态，不校验脚本内容是否被改，攻击者能在审批后替换代码，进而在用户电脑上执行非法操作，甚至实现整机控制、信息窃取。

两个中危漏洞也各有隐患，一个在 OAuth 授权流程里，私密校验参数被当成公开参数用，关键信息会随回调 URL 泄露，攻击者能借此窃取访问令牌，接管用户的谷歌相关服务。

另一个在语音通话的 WebSocket 数据处理环节，系统没校验数据合法性就处理超大数据包，攻击者可发送海量数据包耗尽系统资源，让设备卡顿、崩溃。

这次漏洞挖掘，是 360 靠漏洞挖掘智能体完成的，这也是其 " 用 AI 监管 AI"" 以模治模 " 安全理念的实际落地。

这款智能体和传统的漏洞扫描工具不一样，不靠规则驱动，而是靠智能思维驱动，能精准识别 AI 智能体的深层安全隐患，还能把安全研究员的攻防经验数字化、可复用。

这次新发现的三大漏洞直指AI智能体核心运行机制，直接影响用户设备、数据与账号的核心安全。

在此提醒广大开发者做好应对。

作者：万能的大雄