"กุ้งก้ามกราม" ของคุณกำลังเปลือยเปล่าอยู่หรือเปล่า? CertiK ทดสอบจริง: OpenClaw Skill ที่มีช่องโหว่หลบการตรวจสอบอย่างไร และยึดคอมพิวเตอร์โดยไม่ได้รับอนุญาต

Odaily资深作者

2026-03-17 14:28

บทความนี้มีประมาณ 2101 คำ การอ่านทั้งหมดใช้เวลาประมาณ 4 นาที

หากเปรียบ OpenClaw เป็นระบบปฏิบัติการของอุปกรณ์อัจฉริยะ Skill ก็คือแอปพลิเคชันต่างๆ ที่ติดตั้งในระบบ เมื่อเกิดปัญหาด้านความปลอดภัย จะนำไปสู่ผลร้ายแรงโดยตรง เช่น การรั่วไหลของข้อมูลสำคัญ อุปกรณ์ถูกควบคุมจากระยะไกล และทรัพย์สินดิจิทัลถูกขโมย

สรุปโดย AI

ขยาย

ประเด็นหลัก: การวิจัยของ CertiK ชี้ให้เห็นว่า แพลตฟอร์มเอเจนต์ AI ที่มี OpenClaw เป็นตัวแทน มักมีความเข้าใจผิดเกี่ยวกับความปลอดภัย การใช้ "การตรวจสอบและสแกนก่อนเผยแพร่" เป็นแนวป้องกันความปลอดภัยหลักนั้นไม่มีประสิทธิภาพ รากฐานความปลอดภัยที่แท้จริงอยู่ที่การแยกส่วนบังคับขณะทำงานและการควบคุมสิทธิ์อย่างละเอียด มิฉะนั้น Skill ของบุคคลที่สามที่ทำงานด้วยสิทธิ์สูงจะนำมาซึ่งความเสี่ยงด้านความปลอดภัยที่ร้ายแรง
องค์ประกอบสำคัญ:
1. กลไก "การตรวจสอบและสแกนก่อนเผยแพร่" ที่ใช้กันทั่วไปในอุตสาหกรรมปัจจุบันมีข้อบกพร่อง: กฎการตรวจจับแบบคงที่ถูกหลบเลี่ยงได้ง่ายด้วยการปรับเปลี่ยนโค้ด การตรวจสอบด้วย AI ไม่สามารถค้นพบช่องโหว่ที่ซ่อนอยู่ภายในตรรกะ และ Skill สามารถถูกเผยแพร่และติดตั้งได้ก่อนที่การตรวจสอบจะเสร็จสิ้น
2. การโจมตีเพื่อพิสูจน์แนวคิดยืนยันความเสี่ยง: Skill ที่ดูเหมือนเป็นไปตามข้อกำหนดซึ่งพัฒนาโดย CertiK หลบเลี่ยงการตรวจจับทั้งหมด ถูกติดตั้งก่อนที่การสแกน VirusTotal จะเสร็จสิ้น และประสบความสำเร็จในการกระตุ้นช่องโหว่ผ่านคำสั่งระยะไกล ทำให้สามารถดำเนินการคำสั่งใดๆ บนอุปกรณ์โฮสต์ได้
3. ปัญหาหลักอยู่ที่การขาดสิทธิ์และการแยกส่วน: กลไกแซนด์บ็อกซ์ของ OpenClaw เป็นตัวเลือกและต้องพึ่งพาการกำหนดค่าด้วยตนเองของผู้ใช้ ผู้ใช้ส่วนใหญ่จะปิดแซนด์บ็อกซ์เพื่อรักษาการทำงาน ส่งผลให้ Skill ของบุคคลที่สาม "เปลือยเปล่า" ในสภาพแวดล้อมที่มีสิทธิ์สูง และสามารถเข้าถึงข้อมูลสำคัญและทรัพย์สินได้โดยตรง
4. คำแนะนำด้านความปลอดภัย: นักพัฒนาควรตั้งค่าการแยกส่วนแบบแซนด์บ็อกซ์เป็นการกำหนดค่าบังคับเริ่มต้นสำหรับ Skill ของบุคคลที่สามและควบคุมสิทธิ์อย่างละเอียด ก่อนที่ทางบริษัทจะปรับปรุง ผู้ใช้ควรปรับใช้แพลตฟอร์มในสภาพแวดล้อมที่ไม่สำคัญหรือในเครื่องเสมือน และอยู่ห่างจากทรัพย์สินที่มีมูลค่าสูง
5. ข้อคิดสำหรับอุตสาหกรรม: การตรวจสอบและสแกนสามารถสกัดกั้นการโจมตีระดับเริ่มต้นเท่านั้น ไม่สามารถเป็นขอบเขตความปลอดภัยสำหรับเอเจนต์อัจฉริยะที่มีสิทธิ์สูงได้ ต้องเปลี่ยนไปใช้ความคิดแบบ "ถือว่ามีความเสี่ยงโดยค่าเริ่มต้น" เพื่อควบคุมความเสียหาย และกำหนดการแยกส่วนบังคับจากระดับพื้นฐานขณะทำงาน

เมื่อเร็วๆ นี้ แพลตฟอร์มเอเจนต์ AI แบบโอเพ่นซอร์สที่โฮสต์เอง OpenClaw (ชื่อเล่นในวงการว่า "กุ้งล็อบสเตอร์") ได้รับความนิยมอย่างรวดเร็วด้วยความสามารถในการขยายขนาดที่ยืดหยุ่นและคุณสมบัติการปรับใช้ที่ควบคุมได้ด้วยตนเอง กลายเป็นผลิตภัณฑ์ระดับปรากฏการณ์ในสนามแข่งขันเอเจนต์ AI ส่วนบุคคล Clawhub ซึ่งเป็นศูนย์กลางของระบบนิเวศในฐานะตลาดแอปพลิเคชัน ได้รวบรวมปลั๊กอินฟังก์ชัน Skill ของบุคคลที่สามจำนวนมหาศาล ซึ่งสามารถปลดล็อกความสามารถขั้นสูงให้กับเอเจนต์ได้ด้วยคลิกเดียว ตั้งแต่การค้นหาเว็บ การสร้างเนื้อหา ไปจนถึงการดำเนินการกับกระเป๋าเงินคริปโต การโต้ตอบบนเชน และระบบอัตโนมัติ ขนาดของระบบนิเวศและจำนวนผู้ใช้มีการเติบโตแบบระเบิด

แต่สำหรับ Skill ของบุคคลที่สามประเภทนี้ที่ทำงานในสภาพแวดล้อมที่มีสิทธิ์สูง เส้นแบ่งความปลอดภัยที่แท้จริงของแพลตฟอร์มอยู่ที่ไหนกันแน่?

เมื่อเร็วๆ นี้ CertiK บริษัทความปลอดภัย Web3 ที่ใหญ่ที่สุดในโลก ได้เผยแพร่งานวิจัยล่าสุดเกี่ยวกับความปลอดภัยของ Skill บทความชี้ให้เห็นว่าตลาดในปัจจุบันมีความเข้าใจผิดเกี่ยวกับขอบเขตความปลอดภัยของระบบนิเวศเอเจนต์ AI: อุตสาหกรรมโดยทั่วไปถือว่า "การสแกน Skill" เป็นขอบเขตความปลอดภัยหลัก แต่กลไกนี้แทบจะไร้ประโยชน์เมื่อเผชิญกับการโจมตีของแฮกเกอร์

หากเปรียบเทียบ OpenClaw เป็นระบบปฏิบัติการของอุปกรณ์อัจฉริยะ Skill ก็คือแอปพลิเคชันต่างๆ ที่ติดตั้งในระบบ แตกต่างจากแอปพลิเคชันระดับผู้บริโภคทั่วไป Skill บางส่วนใน OpenClaw ทำงานในสภาพแวดล้อมที่มีสิทธิ์สูง สามารถเข้าถึงไฟล์ในเครื่องโดยตรง เรียกใช้เครื่องมือระบบ เชื่อมต่อกับบริการภายนอก ดำเนินการคำสั่งในสภาพแวดล้อมโฮสต์ และแม้แต่จัดการสินทรัพย์ดิจิทัลที่เข้ารหัสของผู้ใช้ หากเกิดปัญหาด้านความปลอดภัย จะนำไปสู่ผลร้ายแรงโดยตรง เช่น การรั่วไหลของข้อมูลสำคัญ อุปกรณ์ถูกควบคุมจากระยะไกล และสินทรัพย์ดิจิทัลถูกขโมย

ปัจจุบันโซลูชันความปลอดภัยทั่วไปสำหรับ Skill ของบุคคลที่สามในอุตสาหกรรมทั้งหมดคือ "การสแกนและตรวจสอบก่อนวางจำหน่าย" Clawhub ของ OpenClaw ก็ได้สร้างระบบป้องกันการตรวจสอบสามชั้น: รวมการสแกนโค้ด VirusTotal เครื่องตรวจจับโค้ดแบบสแตติก การตรวจจับความสอดคล้องของตรรกะด้วย AI และแจ้งเตือนผู้ใช้ด้วยป็อปอัปความปลอดภัยตามระดับความเสี่ยง พยายามรักษาความปลอดภัยของระบบนิเวศด้วยวิธีนี้ แต่งานวิจัยและการทดสอบการโจมตี Proof of Concept ของ CertiK ยืนยันว่าระบบตรวจจับนี้มีจุดอ่อนในการต่อสู้ป้องกันการโจมตีจริง และไม่สามารถรับหน้าที่หลักในการป้องกันความปลอดภัยได้

งานวิจัยได้แยกแยะข้อจำกัดโดยธรรมชาติของกลไกการตรวจจับที่มีอยู่ก่อน:

กฎการตรวจจับแบบสแตติกถูกหลบเลี่ยงได้ง่าย เครื่องยนต์หลักของระบบนี้อาศัยการจับคู่ลักษณะโค้ดเพื่อระบุความเสี่ยง เช่น การตัดสินว่าการรวมกันของ "การอ่านข้อมูลสำคัญของสภาพแวดล้อม + การส่งคำขอเครือข่ายภายนอก" เป็นพฤติกรรมความเสี่ยงสูง แต่ผู้โจมตีเพียงแค่ปรับเปลี่ยนไวยากรณ์โค้ดเล็กน้อย ในขณะที่ยังคงตรรกะที่เป็นอันตรายไว้ทั้งหมด ก็สามารถหลบเลี่ยงการจับคู่ลักษณะได้อย่างง่ายดาย เปรียบเสมือนการเปลี่ยนการแสดงออกที่เป็นอันตรายด้วยคำพ้องความหมาย ทำให้เครื่องตรวจสอบความปลอดภัยล้มเหลวโดยสิ้นเชิง

การตรวจสอบด้วย AI มีจุดบอดในการตรวจจับโดยธรรมชาติ เป้าหมายหลักของการตรวจสอบด้วย AI ของ Clawhub คือ "เครื่องตรวจจับความสอดคล้องของตรรกะ" ซึ่งสามารถตรวจจับโค้ดที่เป็นอันตรายที่ชัดเจนได้เฉพาะกรณีที่ "ฟังก์ชันที่ประกาศไม่ตรงกับพฤติกรรมจริง" แต่ไม่สามารถจัดการกับช่องโหว่ที่ใช้ประโยชน์ได้ซึ่งซ่อนอยู่ในตรรกะธุรกิจปกติ เปรียบเหมือนการค้นหาภัยคุกคามร้ายแรงที่ซ่อนอยู่ในข้อตกลงของสัญญาที่ดูเหมือนเป็นไปตามกฎระเบียบได้ยาก

ที่ร้ายแรงกว่านั้นคือ กระบวนการตรวจสอบมีข้อบกพร่องในการออกแบบระดับพื้นฐาน: แม้ว่าผลการสแกนของ VirusTotal จะยังอยู่ในสถานะ "รอดำเนินการ" Skill ที่ยังไม่ผ่านการ "ตรวจสุขภาพ" ทั้งกระบวนการก็สามารถวางจำหน่ายสู่สาธารณะได้ ผู้ใช้สามารถติดตั้งได้โดยไม่มีการเตือนใดๆ ซึ่งเปิดโอกาสให้ผู้โจมตี

เพื่อยืนยันอันตรายที่แท้จริงของความเสี่ยง ทีมวิจัยของ CertiK ได้ทำการทดสอบที่สมบูรณ์ ทีมพัฒนา Skill ชื่อ "test-web-searcher" ซึ่งภายนอกเป็นเครื่องมือค้นหาเว็บที่ปฏิบัติตามกฎระเบียบอย่างสมบูรณ์ ตรรกะโค้ดสอดคล้องกับมาตรฐานการพัฒนาทั่วไป แต่ในความเป็นจริงได้ฝังช่องโหว่การดำเนินการโค้ดจากระยะไกลไว้ในกระบวนการทำงานปกติ

Skill นี้หลบเลี่ยงการตรวจจับของเครื่องยนต์สแตติกและการตรวจสอบด้วย AI และสามารถติดตั้งได้ตามปกติโดยไม่มีการเตือนความปลอดภัยใดๆ ในขณะที่ผลการสแกนของ VirusTotal ยังคงอยู่ในสถานะรอดำเนินการ ในที่สุด ด้วยการส่งคำสั่งระยะไกลผ่าน Telegram เพียงคำสั่งเดียว ก็สามารถกระตุ้นช่องโหว่ได้สำเร็จ และดำเนินการคำสั่งใดๆ ก็ได้บนอุปกรณ์โฮสต์ (ในการสาธิต ควบคุมระบบให้เปิดเครื่องคิดเลขโดยตรง)

CertiK ชี้แจงอย่างชัดเจนในงานวิจัยว่า ปัญหาเหล่านี้ไม่ใช่ข้อบกพร่องเฉพาะของผลิตภัณฑ์ OpenClaw แต่เป็นความเข้าใจผิดทั่วไปในอุตสาหกรรมเอเจนต์ AI: อุตสาหกรรมโดยทั่วไปถือว่า "การตรวจสอบและการสแกน" เป็นแนวป้องกันความปลอดภัยหลัก แต่กลับมองข้ามรากฐานความปลอดภัยที่แท้จริง ซึ่งคือการแยกการทำงานแบบบังคับและการควบคุมสิทธิ์อย่างละเอียดในขณะทำงาน เปรียบเสมือนความปลอดภัยหลักของระบบนิเวศ iOS ของ Apple ไม่เคยเป็นการตรวจสอบอย่างเข้มงวดของ App Store แต่เป็นกลไกแซนด์บ็อกซ์แบบบังคับของระบบและการควบคุมสิทธิ์อย่างละเอียด ซึ่งทำให้แต่ละแอปพลิเคชันทำงานเฉพาะใน "ห้องแยก" ของตัวเอง และไม่สามารถเข้าถึงสิทธิ์ระบบได้โดยพลการ ในขณะที่กลไกแซนด์บ็อกซ์ที่มีอยู่ใน OpenClaw เป็นตัวเลือกไม่ใช่การบังคับ และอาศัยการกำหนดค่าด้วยตนเองของผู้ใช้เป็นอย่างสูง ผู้ใช้ส่วนใหญ่เพื่อให้แน่ใจว่าฟังก์ชันของ Skill สามารถใช้งานได้ จะเลือกปิดแซนด์บ็อกซ์ ในที่สุดทำให้เอเจนต์อยู่ในสถานะ "เปลือย" และหากติดตั้ง Skill ที่มีช่องโหว่หรือโค้ดที่เป็นอันตราย จะนำไปสู่ผลร้ายแรงโดยตรง

สำหรับปัญหาที่ค้นพบในครั้งนี้ CertiK ได้ให้คำแนะนำด้านความปลอดภัย:

● สำหรับนักพัฒนาเอเจนต์ AI เช่น OpenClaw ต้องตั้งค่าการแยกแซนด์บ็อกซ์เป็นการกำหนดค่าแบบบังคับเริ่มต้นสำหรับ Skill ของบุคคลที่สาม ควบคุมโมเดลสิทธิ์ของ Skill อย่างละเอียด และไม่อนุญาตให้โค้ดของบุคคลที่สามได้รับสิทธิ์สูงของโฮสต์โดยค่าเริ่มต้น

● สำหรับผู้ใช้ทั่วไป Skill ที่มีป้ายกำกับ "ปลอดภัย" ในตลาด Skill หมายถึงเพียงว่ามันยังไม่ถูกตรวจพบความเสี่ยง ไม่เท่ากับปลอดภัยอย่างแน่นอน ก่อนที่ทางการจะตั้งกลไกการแยกแบบบังคับระดับพื้นฐานเป็นการกำหนดค่าเริ่มต้น แนะนำให้ปรับใช้ OpenClaw บนอุปกรณ์ที่ไม่สำคัญที่ไม่ได้ใช้งานหรือเครื่องเสมือน อย่าให้มันเข้าใกล้ไฟล์สำคัญ ข้อมูลประจำตัวรหัสผ่าน และสินทรัพย์ที่เข้ารหัสที่มีมูลค่าสูง

ปัจจุบันสนามแข่งขันเอเจนต์ AI กำลังอยู่ในช่วงก่อนการระเบิด ความเร็วของการขยายระบบนิเวศต้องไม่เร็วกว่าก้าวของการสร้างความปลอดภัย การตรวจสอบและการสแกนสามารถหยุดการโจมตีที่เป็นอันตรายระดับเริ่มต้นได้เท่านั้น แต่จะไม่มีวันกลายเป็นขอบเขตความปลอดภัยของเอเจนต์ที่มีสิทธิ์สูง มีเพียงการเปลี่ยนจาก "การแสวงหาการตรวจจับที่สมบูรณ์แบบ" เป็น "การควบคุมความเสียหายโดยยอมรับว่ามีความเสี่ยงอยู่โดยค่าเริ่มต้น" และการกำหนดขอบเขตการแยกแบบบังคับจากระดับพื้นฐานในขณะทำงานเท่านั้น จึงจะสามารถรองรับเส้นความปลอดภัยพื้นฐานของเอเจนต์ AI ได้อย่างแท้จริง และทำให้การเปลี่ยนแปลงทางเทคโนโลยีนี้ก้าวหน้าอย่างมั่นคงและยั่งยืน