#OpenClaw创始人回信确认360独家发现漏洞#
刷到个消息，OpenClaw创始人通过邮件确认，360安全云团队发现了一个零日漏洞，就在他们的智能体网关上。

漏洞本身不复杂，WebSocket接口没认证，相当于把家门钥匙挂在大门上，谁都能直接进系统拿控制权。对普通用户来说，如果你的OpenClaw开了公网访问，或者装了些来路不明的插件，风险确实存在。360这边已经报了国家平台，官方补丁也快出了，但在这之前，最好先把端口关一关，插件先别乱加。

有意思的是，前脚360刚因为“安全龙虾”打包SSL私钥挨过批评，后脚就挖出这么个漏洞，倒是能看出他们研究能力还是在的。但更值得琢磨的是，智能体这东西一旦从“聊天玩具”变成“能干活的手脚”，权限给太满、接口露太多，问题就会一个接一个来。

平时大家聊智能体，总想着它能帮我干多少事，但真当它能控制文件、调API的时候，反而该留个心眼——在官方补丁落地前，先让它“笨”一点，没什么不好。http://t.cn/AXf0Qt7K