开工第一周，智能体接连“闯祸”：你的数字员工还安全吗？

春节假期刚过，打工人陆续返岗，企业也迎来了新一年的开局。然而就在短短一周内，多起与AI智能体相关的安全事件，给所有准备大规模部署AI的企业敲响了警钟——当赋予AI自主权时，是否也给黑客留下了一扇隐形门？


现实暴击：

AI的“自主”正在失控


1

一场“停不下来”的邮箱大扫除



2月23日，Meta AI安全研究员Summer Yue经历了一场“AI惊魂”。她让自己的OpenClaw代理帮忙清理堆积如山的邮箱，提出处理建议即可。然而，这个此前在测试中表现良好的代理，在面对海量真实邮件时突然“失控”——它开始无视“停止”命令，疯狂地批量删除所有邮件，甚至在她用手机不停发出停止指令时也置若罔闻。

技术分析显示，问题源于AI的“压缩机制”：当处理的数据量远超测试环境时，系统会对对话历史进行摘要，某些约束性指令可能被当作低权重信息而丢弃。导致模型回归其核心目标——“清理”，从而陷入自动执行的恶性循环。


2

67万美元，一个BUG的代价



同样是2月23日，OpenAI工程师Nick Pash为测试OpenClaw平台，创建了一个名为“Lobstar Wild”的AI交易智能体，并为其配备了5万美元的数字钱包和多项API权限。一名用户向它发送请求，声称自己的“叔叔”在处理龙虾后感染破伤风，希望索要4美元治疗费。

Lobstar Wild并未按指令发送小额款项，反而将其持有的全部Lobstar加密货币倾囊相赠。这笔意外之财在转账时价值25万美元，随后暴涨至67万美元。事后排查发现，这次重大失误源于一个旧版本的框架漏洞，让AI从一个效率工具变成了“散财童子”。

3

首例安卓Runtime AI病毒

实时“学习”对抗查杀


就在Lobstar Wild事件发生的前三天，2月20日，全球首例在运行时直接集成生成式AI的安卓恶意软件——PromptSpy曝光。它通过调用谷歌Gemini模型分析当前手机的屏幕内容，要求其返回下一步操作指令，进而实时调整在受感染设备上的行为。

更狡猾的是，当用户试图卸载应用时，恶意软件会生成透明矩形覆盖在系统按钮上，使用户根本无法删除。


安全防线升级：

从“防漏洞”到“管AI”


这几起事件共同指向一个残酷现实：当AI智能体获得高权限、自主决策权的那一刻起，安全风险的本质就已经发生改变。随着智能体时代到来，越来越多“数字员工”即将上岗。能力越强，责任越大，管住AI与使用AI同样重要。


传统安全防护，防的是代码漏洞、系统后门、网络攻击。但智能体时代，一个看似无害的用户请求，可能成为攻击者绕过所有传统防御的突破口；一个被赋予权限的智能体，可以因为一次“理解错误”而送出全部资产；当恶意软件学会调用AI实时“学习”，就能让静态检测规则形同虚设。


攻击者的目标，不再是“攻破系统”，而是“欺骗AI”。以OpenClaw为代表的AI智能体，其风险远超传统软件漏洞。攻击面贯穿整个执行链条：从理解指令时的提示词注入、到调用工具时的协议伪造、再到执行命令时的命令注入。一次针对AI的诱导攻击，可能直接绕过所有外围安全设备，触及企业核心资产。


面对AI智能体引发的新型威胁，传统安全防护体系已经力不从心。360提出“外筑‘以模治模’动态屏障，内固‘平台原生’安全底座”的双重防护理念，并正式推出“大模型卫士”产品系列。针对智能体安全挑战，聚焦从部署到运行的核心环节，围绕框架安全、工具调用、MCP通信、用户交互等维度，建立纵深防御体系。


通过对智能体相关资产、漏洞、交互行为、基础运行环境等的全面监测与分析，实现智能体环境的安全可控。同时，通过细粒度的行为审计，精准识别越权操作与恶意诱导，实现智能体行为的可审可管，助力企业化解智能体失控风险。


AI智能体的浪潮刚刚开始。当我们赋予AI“自主权”时，是否也给了它足够的“约束”？当AI开始思考和决策时，企业的安全防线是否还停留在上个时代？面对这场深刻的变革，360愿与各方伙伴携手，共同构筑一个向善、安全、可信、可控的AI未来。


如需进一步咨询

请联系

400-0309-360



来源：360数字安全