360 AI安全研究院最新发布的报告显示,AI驱动的漏洞挖掘技术正从实验室演示迈向真实场景应用,标志着网络安全领域进入以智能体为核心的工程化竞争阶段。报告强调,未来AI安全能力的核心指标将不再是模型能否识别潜在漏洞,而是能否在复杂系统中实现从发现到阻断的全链条闭环管理。
传统网络安全攻防以漏洞发现速度为关键,但随着大模型技术突破,行业焦点正转向真实环境下的系统防护。报告指出,Anthropic Mythos、Fable 5等高能力模型已不再局限于技术展示,而是深度参与关键基础设施防护、软件供应链治理等核心场景。这种转变促使中国必须构建自主可控的AI安全体系,以应对新型战略安全挑战。
当前AI漏洞挖掘形成两大技术路径:以基础大模型为核心的"能力涌现路线"凭借代码理解与推理能力实现广覆盖扫描;以安全智能体为中心的"工程实战路线"则通过整合专家经验、攻防数据与自动化验证流程,构建贴近实战的闭环系统。报告特别提到,360开发的漏洞挖掘智能体在OpenClaw核心系统及衍生产品中识别出23处独立漏洞,其中12处为高危漏洞,并在Flowise审计中发现13个未公开的0day漏洞,验证了工程化路线的有效性。
智能体生态带来的安全风险呈现链式传导特征。报告分析显示,框架漏洞可能通过工具调用扩散至多个衍生产品,新增功能模块会显著扩大攻击面,同源设计模式更易导致同类边界问题在不同项目重复出现。这种"多米诺风险"要求安全防护必须从单点突破转向系统治理,覆盖模型、工具、权限、数据等全要素攻击面。
据360披露的实战数据,其智能体系统已累计发现3432个漏洞,其中105个获得监管部门确认。这些漏洞涉及认证绕过、远程命令执行等新型攻击方式,暴露出AI应用开发平台在工具调用权限、数据流转控制等方面的治理缺陷。报告强调,推动漏洞进入修复流程才是安全能力落地的关键,这需要构建包含模型、智能体、专家经验、攻防数据、工具链的完整治理体系。
即将于6月24日在北京召开的ISC.AI 2026大会将聚焦"智能体颠覆安全"主题,360计划在会上发布漏洞挖掘智能体的最新进展,展示智能体技术如何深度融入安全运营场景,推动威胁发现、防御响应等核心能力升级。这场技术变革预示着网络安全将进入以智能体协同作战为特征的新纪元。
