3月22日，360安全云团队收到了OpenClaw创始人Peter的官方邮件，邮件中Peter明确表态——由360独家发现的OpenClaw Gateway WebSocket无认证升级漏洞，不仅真实存在，更是风险拉满的高危漏洞，相当于给相关用户和企业拉响了“安全警报”。 OpenClaw是当下超火的自托管AI代理工具，很多个人开发者和企业都会用它来实现AI相关的自主调度。而它的Gateway（网关），就相当于整个工具的“神经中枢”——统一管调度、管安全、管设备接入，所有客户端都得通过WebSocket和这个“中枢”建立连接，相当于“必经通道”。而这次360挖到的漏洞，就藏在这个核心网关的升级环节里，更关键的是，它属于最危险的零日（0Day）漏洞！ 零日漏洞到底有多可怕？用一句大白话来说，它就是软件厂商还没发现、没来得及修复的“隐形刺客”——黑客一旦找到，就能直接利用它发起攻击，而用户和厂商全程蒙在鼓里，毫无还手之力。小到个人设备被控制，大到企业系统崩溃、基础设施瘫痪，都是它可能造成的后果，破坏力直接拉满。 这次360发现的漏洞，比普通零日漏洞更“难缠”：攻击者不用触发任何提醒，就能通过WebSocket悄悄绕过权限认证，神不知鬼不觉地拿到OpenClaw智能体网关的控制权。要知道，网关是整个OpenClaw的“总开关”，一旦被掌控，后续麻烦接踵而至——目标系统资源被耗尽、全面崩溃都有可能，不管是个人开发者的终端，还是企业的相关系统，都会被波及。 360在发现漏洞后，没有丝毫拖延，第一时间就把这个高危漏洞同步上报给了国家信息安全漏洞共享平台（CNVD），严格按照规定流程操作，助力全网快速排查风险、切断攻击源头，最大限度减少漏洞带来的危害，相当于给大家筑牢了“安全防护网”。 作为国内顶尖的网络安全团队，360这次独家发现并推动漏洞确认，不仅展现了硬实力，更实实在在为广大用户和企业规避了潜在风险。这里也给相关用户提个实用提醒：目前OpenClaw方面已收到漏洞信息，后续有望推出修复版本，一定要及时关注更新，做好设备和系统的安全防护，避免被黑客趁机攻击。