3月31日,360数字安全集团发布消息称其自主研发的多智能体协同漏洞挖掘系统,在OpenClaw平台中成功发现一严重安全漏洞——"MEDIA协议Prompt注入绕过工具权限泄露本地文件"高危漏洞。该漏洞已被国家信息安全漏洞库(CNNVD)正式收录并确认存在重大威胁。统计显示该安全隐患波及全球逾50个国家和地区,涉及超过17万个可公开访问的OpenClaw实例。
据技术分析表明,该漏洞的核心问题在于MEDIA协议运行于系统的输出后处理层域。攻击者可借此完全规避平台既定的安全策略管控机制:即便相关代理已禁用所有工具调用权限,在仅具备基础群组成员身份的情况下仍可发起攻击行为。通过此路径可直接获取服务器敏感数据存储,并可能进一步触发链式网络攻击事件。(国是直通车)
