技术说明
360数字安全集团于2026年4月24日披露,其内部开发的多智能体协作漏洞发现系统已发现近1,000个此前未知的漏洞,包括Microsoft Office和OpenClaw(一个开源AI智能体框架)中的缺陷,将该系统定位为中国对Anthropic的Mythos模型的回应。
攻击途径
虽然未披露具体技术细节,360表示AI已从"辅助工具发展为漏洞发现的核心引擎",暗示了自动化模糊测试、漏洞利用链构建和跨代码库的模式识别。根据Natto Thoughts分析,一些漏洞声明存在争议或已被归功于其他研究人员。
受影响系统
Microsoft Office(未指定组件)、OpenClaw AI智能体框架,以及大约998个其他尚未公开详述的系统。这种广度表明目标涵盖生产力软件、AI/ML工具,以及潜在的关键基础设施。
缓解措施
组织应监控CVE信息源和供应商公告,以了解360研究即将发布的披露信息。中国的法律要求企业在公开披露前向国家机构报告漏洞,这创造了不对称威胁窗口期——应假设国家行为者可能在补丁可用之前提前获得利用这些发现的机会。当更新发布时,应优先修补AI/ML框架和Microsoft生产力套件。