当AI替你“打工”,谁在替黑客“开门”?

一封邮件,撂倒一台电脑



某单位业务负责人老张,最近爱上了他的AI助手。



早上自动汇总邮件,上午十分钟出一份汇报材料初稿,中午还能帮他划好下属转来的研究报告重点。



他端起保温杯,满意地去茶水间转了一圈。



他不知道的是——就在他喝咖啡的这十分钟里,这台电脑上的核心文件,已经被悄悄上传到了境外服务器。

为什么是AI助手



01

过去十年的网络安全告诉我们一件事:攻击者永远跟着“权限”走——什么程序权限最大、接触数据最多、用户最信任,什么就是下一个目标。



今天,坐在每个员工电脑前权限最大、接触数据最多、最被信任的那个,已经不是杀毒软件,不是浏览器,而是AI助手。



它能读你的邮件、改你的文档、调你的浏览器、敲你的命令行。它替你做的事越多,信任链就越长;信任链越长，中间可被劫持的环节就越多。



传统的网络攻击需要你点一下、填一下、装一下。AI Agent时代的攻击,只需要它替你点一下。



那么这些“点一下”，究竟是怎么发生的?



这些漏洞,怎么打进来的?



02

360漏洞研究院在最新发布的《漏洞挖掘智能体实践·OpenClaw生态安全风险分析》报告中,把目光投向了当前最火的开源AI Agent生态——以OpenClaw为代表的“Claw系”产品。研究人员动用了自研的漏洞挖掘智能体,以“Agent对抗Agent”的方式,对这套生态做了一次深度安全体检。



下面我们拆解两条最有代表性的攻击链，它们覆盖了政企单位在AI Agent时代最该警惕的两类风险场景。



外部入侵型

一封邮件,如何穿透三道防线

Step1·攻击准备

攻击者构造一封邮件。看起来平平无奇,但附件的文件名被精心设计过——里面藏着一串“目录跳转字符”(技术上叫做 ../../ 这样的路径穿越符)。这串字符会让任何不严格检查的程序误以为这个文件该被存到别的地方去。



Step2·投递触达

邮件发送给目标用户。用户的AI助手已经接入了邮箱,并被授予了“自动下载并整理附件”的权限。注意:这一步,用户什么都不需要做。



Step3·AI助手“接活”日

AI助手按预设流程工作:检测到新邮件 → 解析附件信息 → 准备下载附件到“邮件附件文件夹”。



Step4·防线失守

邮箱组件在拼接保存路径时,直接把攻击者构造的文件名和本地路径“焊接”在了一起——没有做任何字符校验。报告中明确指出这一缺陷:“没有对邮件附件名进行过滤,直接拼接下载”。



于是,本该被存到 附件文件夹/恶意.exe 的文件,实际上被存到了系统关键目录,覆盖了一个原本无害的系统程序。



Step5·静默潜伏

攻击者不需要再做任何事。文件已经就位,只等触发。



Step6·引爆

等用户下次启动那个被替换的系统程序时——可能是几分钟后,也可能是第二天开机——恶意代码自动执行,攻击者获得控制权。



全程6步,用户操作:0次



关键技术参数

· 漏洞类型:路径穿越(Path Traversal)

· 触发条件:AI助手接入邮箱且开启自动附件处理

· 用户操作要求:0次点击

· 危害等级:高危

· 发现方:360漏洞挖掘智能体



内部背刺型

审批通过的是A,执行的是B



如果说第一条链路是“外部攻击者打进来”,那这第二条链路更让人后背发凉——它发生在企业内部最该被信任的审批环节。

Step1·内部信任前提

企业部署了AI Agent来辅助运维工作。为了防范风险,管理员设置了“重要脚本必须经过审批才能执行”的内控规则——看起来万无一失。



Step2·提交一个“无害”脚本

攻击者(可能是被钓鱼攻陷的普通员工账号,也可能是内鬼)向系统提交一个完全无害的脚本,内容可能只是简单的“查询磁盘使用率”。



Step3·审批通过

主管查看脚本内容,确认无害,点击“同意”。系统记录:该脚本已通过审批,可以执行。



Step4·致命漏洞触发

报告中360漏洞挖掘智能体发现的关键缺陷出现在这里——系统在执行环节,只检查了“这个脚本是否被审批过”,但没有检查“现在要执行的内容,是不是当初被审批的那个内容”。



也就是说,审批和执行之间,有一个无人看管的时间窗口。



Step5·内容掉包

攻击者在这个时间窗口内,用同样的脚本名,替换掉里面的真实代码——从“查询磁盘”换成“打包并外传机密文件”。系统看了一眼审批状态,显示“已通过”,于是放行执行。



Step6·完美犯罪

恶意代码在已审批的“合法身份”掩护下执行。事后审计日志里,这次操作显示为:主管已审批✓·脚本已执行✓——完全合规的记录。



流程完美,内容已失



关键技术参数

· 漏洞类型:审批与执行间的完整性校验缺失

· 触发条件:攻击者获得脚本提交权限(普通员工权限即可)

· 检测难度:极高(事后日志看起来完全合规)

· 危害等级:高危

· 发现方:360漏洞挖掘智能体



这两条链路,看似走的是完全不同的路径，但它们指向同一个本质问题:



AI Agent天生具备“替人做事”的能力。它替你做的事越多,信任链就越长;信任链越长,中间可被劫持的环节就越多。



更严峻的是,这两条链路并不是孤立的两个案例——它们只是360漏洞挖掘智能体在这次研究中,从23个漏洞、11款产品中挑出的两个最典型样本。



报告中,研究人员将受影响的产品按代号划分为Claw1到Claw7——它们覆盖了从企业级AI助手、个人智能体、轻量化跨平台工具、到集成主流办公平台(包括邮箱、即时通讯)的多种形态。它们各有名字,但骨子里跑的是同一套有缺陷的代码。



这意味着,如果你所在的单位:



--正在试点AI辅助办公

--已经引入AI代码助手

--给一线员工配发了AI智能体客户端

--或者在内网部署了任何形式的Agent类应用



那么老张的故事,理论上每天都有可能在你的同事身上发生。



为什么会这样？——四道防线的"多米诺时刻"



03

报告把AI Agent生态的系统性风险归结为三句话:



架构上,四道防线高度耦合。AI Agent需要的认证、网络、执行、控制四道防线,本应像四重城墙层层设防,实际却是多米诺骨牌——任何一道倒下,后面三道跟着塌。



二次开发上,旧账未清又欠新账。 衍生产品继承了上游未修复的漏洞,又因新增功能引入了新的攻击入口。



开源自研上,换了代码换不掉范式。 即便完全重写,只要底层设计逻辑相同,同类漏洞仍会"换个马甲"重现。

让AI去抓AI的漏洞



04

在这次实践中,360漏洞研究院第一次系统性地把"Agent对抗Agent"的范式用在了实战上:



让自己的AI智能体,自动理解目标AI Agent的复杂架构、自主构建威胁模型、自主生成攻击路径、自主验证利用可行性——整个流程几乎不需要人工介入。



架构理解能力: 在分析OpenClaw时,智能体能快速消化其复杂的工具调用、网络通信、决策核心三层架构,并精准定位薄弱环节——前面提到的"审批被点了同意、内容却被掉包"的高危漏洞,正是它发现的。



跨代码追踪能力: 借助内置的软件成分分析(SCA)和持续进化的安全专家知识库,智能体能在衍生产品中快速比对出"哪些上游漏洞还没修",精准定位继承风险。



语义级推理能力: 对于完全重写的自研产品,智能体通过跨文件数据流追踪+AI驱动的逻辑推理,发现了那些代码层面看似严密、但全局逻辑存在断层的"新漏洞"。

结语

回到老张的故事。



老张没有错，只是像所有职场人一样，享受AI带来的效率红利。但AI Agent和过去的软件工具不同，它越能干，就越会被赋予权限；它权限越大，就越容易成为攻击者眼中的“新入口”。



因此，AI Agent不是不能用，而是不能再按普通工具来管。它更像一个进入组织内部的“数字员工”：需要资产登记、权限约束、行为审计和安全体检。



360漏洞研究院此次实践也释放出一个明确信号：用AI发现AI的漏洞，不再是前沿尝试，而将成为AI时代安全建设的基础能力。



360数字安全