CertiK ทดสอบจริง: OpenClaw Skill ที่มีช่องโหว่หลบการตรวจสอบอย่างไร และยึดควบคุมคอมพิวเตอร์โดยไม่ได้รับอนุญาต

เมื่อเร็วๆ นี้ แพลตฟอร์มเอเจนต์ AI แบบโอเพ่นซอร์สที่โฮสต์เอง OpenClaw (หรือที่เรียกกันในวงการว่า "กุ้งเครย์ฟิช") ได้รับความนิยมอย่างรวดเร็วด้วยความสามารถในการขยายขนาดที่ยืดหยุ่นและคุณสมบัติการปรับใช้ที่ควบคุมได้ด้วยตนเอง กลายเป็นผลิตภัณฑ์ระดับปรากฏการณ์ในสนามแข่งขันเอเจนต์ AI ส่วนบุคคล Clawhub ซึ่งเป็นศูนย์กลางของระบบนิเวศในฐานะตลาดแอปพลิเคชัน ได้รวบรวมปลั๊กอินฟังก์ชัน Skill ของบุคคลที่สามจำนวนมหาศาล ซึ่งสามารถปลดล็อกความสามารถขั้นสูงให้กับเอเจนต์ได้ด้วยคลิกเดียว ตั้งแต่การค้นหาเว็บ การสร้างเนื้อหา ไปจนถึงการดำเนินการกับกระเป๋าเงินคริปโต การโต้ตอบบนเชน และระบบอัตโนมัติ ขนาดของระบบนิเวศและจำนวนผู้ใช้มีการเติบโตแบบระเบิด

แต่สำหรับ Skill ของบุคคลที่สามประเภทนี้ที่ทำงานในสภาพแวดล้อมที่มีสิทธิ์สูง ขอบเขตความปลอดภัยที่แท้จริงของแพลตฟอร์มอยู่ที่ไหน?

เมื่อเร็วๆ นี้ CertiK บริษัทความปลอดภัย Web3 ที่ใหญ่ที่สุดในโลก ได้เผยแพร่งานวิจัยล่าสุดเกี่ยวกับความปลอดภัยของ Skill เอกสารชี้ให้เห็นว่าตลาดในปัจจุบันมีความเข้าใจผิดเกี่ยวกับขอบเขตความปลอดภัยของระบบนิเวศเอเจนต์ AI: อุตสาหกรรมโดยทั่วไปถือว่า "การสแกน Skill" เป็นขอบเขตความปลอดภัยหลัก และกลไกนี้แทบจะไร้ประโยชน์เมื่อเผชิญกับการโจมตีของแฮ็กเกอร์

หากเปรียบเทียบ OpenClaw กับระบบปฏิบัติการของอุปกรณ์อัจฉริยะ Skill ก็คือแอปพลิเคชันต่างๆ ที่ติดตั้งในระบบ แตกต่างจากแอปพลิเคชันระดับผู้บริโภคทั่วไป บาง Skill ใน OpenClaw ทำงานในสภาพแวดล้อมที่มีสิทธิ์สูง สามารถเข้าถึงไฟล์ท้องถิ่นโดยตรง เรียกใช้เครื่องมือระบบ เชื่อมต่อกับบริการภายนอก ดำเนินการคำสั่งในสภาพแวดล้อมโฮสต์ และแม้แต่จัดการสินทรัพย์ดิจิทัลที่เข้ารหัสของผู้ใช้ หากเกิดปัญหาด้านความปลอดภัย จะนำไปสู่ผลร้ายแรง เช่น การรั่วไหลของข้อมูลสำคัญ อุปกรณ์ถูกควบคุมจากระยะไกล และการขโมยสินทรัพย์ดิจิทัลโดยตรง

ปัจจุบันโซลูชันความปลอดภัยทั่วไปสำหรับ Skill ของบุคคลที่สามในอุตสาหกรรมทั้งหมดคือ "การสแกนและตรวจสอบก่อนวางจำหน่าย" Clawhub ของ OpenClaw ก็ได้สร้างระบบป้องกันการตรวจสอบสามชั้น: รวมการสแกนโค้ด VirusTotal เครื่องตรวจจับโค้ดแบบสแตติก และการตรวจจับความสอดคล้องของตรรกะ AI โดยให้ระดับความเสี่ยงและแจ้งเตือนผู้ใช้ด้วยป็อปอัปความปลอดภัย พยายามรักษาความปลอดภัยของระบบนิเวศด้วยวิธีนี้ แต่งานวิจัยและการทดสอบการโจมตี Proof of Concept ของ CertiK ยืนยันว่าระบบตรวจจับนี้มีจุดอ่อนในการต่อสู้ระหว่างการโจมตีและการป้องกันจริง และไม่สามารถรับหน้าที่หลักในการป้องกันความปลอดภัยได้

งานวิจัยได้แยกแยะข้อจำกัดโดยธรรมชาติของกลไกการตรวจจับที่มีอยู่ก่อน:

กฎการตรวจจับแบบสแตติกถูกหลบเลี่ยงได้ง่าย เครื่องยนต์หลักของระบบนี้อาศัยการจับคู่คุณลักษณะโค้ดเพื่อระบุความเสี่ยง เช่น การตัดสินใจว่าการรวมกันของ "การอ่านข้อมูลสำคัญของสภาพแวดล้อม + การร้องขอเครือข่ายภายนอก" เป็นพฤติกรรมความเสี่ยงสูง แต่ผู้โจมตีเพียงแค่ปรับเปลี่ยนไวยากรณ์โค้ดเล็กน้อย ในขณะที่ยังคงตรรกะที่เป็นอันตรายไว้ทั้งหมด ก็สามารถหลบเลี่ยงการจับคู่คุณลักษณะได้อย่างง่ายดาย เหมือนกับการเปลี่ยนการแสดงออกที่เป็นอันตรายด้วยคำพ้องความหมาย ทำให้เครื่องตรวจสอบความปลอดภัยล้มเหลวโดยสิ้นเชิง

การตรวจสอบด้วย AI มีจุดบอดในการตรวจจับโดยธรรมชาติ เป้าหมายหลักของการตรวจสอบด้วย AI ของ Clawhub คือ "เครื่องตรวจจับความสอดคล้องของตรรกะ" ซึ่งสามารถจับโค้ดที่เป็นอันตรายที่ชัดเจนซึ่ง "ฟังก์ชันที่ประกาศไม่สอดคล้องกับพฤติกรรมจริง" ได้เท่านั้น แต่ไม่สามารถทำอะไรกับช่องโหว่ที่ใช้ประโยชน์ได้ซึ่งซ่อนอยู่ในตรรกะธุรกิจปกติได้ เหมือนกับการที่ยากที่จะค้นพบกับดักร้ายแรงที่ซ่อนอยู่ในข้อกำหนดลึกๆ จากสัญญาที่ดูเหมือนเป็นไปตามกฎระเบียบ

ที่ร้ายแรงกว่านั้นคือ กระบวนการตรวจสอบมีข้อบกพร่องในการออกแบบระดับพื้นฐาน: แม้ว่าผลการสแกนของ VirusTotal จะยังอยู่ในสถานะ "รอดำเนินการ" Skill ที่ยังไม่ผ่านการ "ตรวจสุขภาพ" ทั้งกระบวนการก็สามารถวางจำหน่ายสู่สาธารณะได้โดยตรง ผู้ใช้สามารถติดตั้งได้โดยไม่มีการเตือน ซึ่งเปิดช่องโหว่ให้ผู้โจมตี

เพื่อยืนยันอันตรายที่แท้จริงของความเสี่ยง ทีมวิจัยของ CertiK ได้ทำการทดสอบอย่างสมบูรณ์ ทีมพัฒนา Skill ชื่อ "test-web-searcher" ซึ่งบนพื้นผิวเป็นเครื่องมือค้นหาเว็บที่สอดคล้องกับกฎระเบียบอย่างสมบูรณ์ โดยมีตรรกะโค้ดที่สอดคล้องกับมาตรฐานการพัฒนาทั่วไป แต่ในความเป็นจริงได้ฝังช่องโหว่การดำเนินการโค้ดระยะไกลในขั้นตอนการทำงานปกติ

Skill นี้หลบเลี่ยงการตรวจจับของเครื่องยนต์แบบสแตติกและการตรวจสอบด้วย AI และสามารถติดตั้งได้ตามปกติโดยไม่มีการเตือนความปลอดภัยใดๆ ในขณะที่การสแกน VirusTotal ยังคงอยู่ในสถานะรอดำเนินการ ในที่สุด ด้วยการส่งคำสั่งระยะไกลผ่าน Telegram ก็สามารถทริกเกอร์ช่องโหว่ได้สำเร็จ และดำเนินการคำสั่งใดๆ ก็ได้บนอุปกรณ์โฮสต์ (ในการสาธิต ควบคุมระบบให้เปิดเครื่องคิดเลขโดยตรง)

CertiK ชี้แจงอย่างชัดเจนในงานวิจัยว่าปัญหาเหล่านี้ไม่ใช่บั๊กเฉพาะของผลิตภัณฑ์ OpenClaw แต่เป็นความเข้าใจผิดทั่วไปในอุตสาหกรรมเอเจนต์ AI ทั้งหมด: อุตสาหกรรมโดยทั่วไปถือว่า "การตรวจสอบและการสแกน" เป็นแนวป้องกันความปลอดภัยหลัก แต่กลับลืมไปว่าพื้นฐานความปลอดภัยที่แท้จริงคือการแยกตัวบังคับขณะรันไทม์และการควบคุมสิทธิ์อย่างละเอียด นี่เหมือนกับว่าหลักความปลอดภัยของระบบนิเวศ iOS ของ Apple ไม่เคยเป็นการตรวจสอบอย่างเข้มงวดของ App Store แต่เป็นกลไก sandbox บังคับของระบบและการควบคุมสิทธิ์อย่างละเอียด ซึ่งทำให้แต่ละแอปพลิเคชันทำงานใน "ห้องแยก" เฉพาะของตัวเองเท่านั้น และไม่สามารถรับสิทธิ์ระบบได้ตามอำเภอใจ ในขณะที่กลไก sandbox ที่มีอยู่ของ OpenClaw เป็นทางเลือกแทนที่จะเป็นการบังคับ และต้องพึ่งพาการกำหนดค่าด้วยตนเองของผู้ใช้อย่างมาก ผู้ใช้ส่วนใหญ่เพื่อให้แน่ใจว่าฟังก์ชันของ Skill สามารถใช้ได้ จะเลือกปิด sandbox ซึ่งในที่สุดทำให้เอเจนต์อยู่ในสถานะ "เปลือย" เมื่อติดตั้ง Skill ที่มีช่องโหว่หรือโค้ดที่เป็นอันตราย จะนำไปสู่ผลร้ายแรงโดยตรง

สำหรับปัญหาที่ค้นพบในครั้งนี้ CertiK ได้ให้คำแนะนำด้านความปลอดภัย:

● สำหรับนักพัฒนาเอเจนต์ AI เช่น OpenClaw ต้องตั้งค่าการแยก sandbox เป็นการกำหนดค่าบังคับเริ่มต้นสำหรับ Skill ของบุคคลที่สาม ควบคุมแบบจำลองสิทธิ์ของ Skill อย่างละเอียด และไม่อนุญาตให้โค้ดของบุคคลที่สามรับสิทธิ์สูงของโฮสต์โดยค่าเริ่มต้น

● สำหรับผู้ใช้ทั่วไป Skill ที่มีป้าย "ปลอดภัย" ในตลาด Skill หมายความเพียงว่ามันไม่ถูกตรวจพบความเสี่ยง ไม่เท่ากับปลอดภัยอย่างแน่นอน ก่อนที่ทางการจะตั้งกลไกการแยกตัวบังคับระดับพื้นฐานเป็นการกำหนดค่าเริ่มต้น แนะนำให้ปรับใช้ OpenClaw บนอุปกรณ์ที่ไม่สำคัญที่ไม่ได้ใช้หรือเครื่องเสมือน อย่าให้มันเข้าใกล้ไฟล์สำคัญ ข้อมูลประจำตัวรหัสผ่าน และสินทรัพย์ที่เข้ารหัสมูลค่าสูง

ปัจจุบันสนามแข่งขันเอเจนต์ AI กำลังอยู่ในช่วงก่อนการระเบิด ความเร็วของการขยายระบบนิเวศต้องไม่เร็วกว่าก้าวของความปลอดภัย การตรวจสอบและการสแกนสามารถหยุดการโจมตีที่เป็นอันตรายระดับเริ่มต้นได้เท่านั้น แต่จะไม่มีวันกลายเป็นขอบเขตความปลอดภัยสำหรับเอเจนต์ที่มีสิทธิ์สูง มีเพียงการเปลี่ยนจาก "การแสวงหาการตรวจจับที่สมบูรณ์แบบ" ไปสู่ "การควบคุมความเสียหายโดยสมมติว่ามีความเสี่ยงอยู่โดยค่าเริ่มต้น" และการกำหนดขอบเขตการแยกตัวบังคับจากระดับพื้นฐานขณะรันไทม์เท่านั้น จึงจะสามารถรองรับเส้น底线ความปลอดภัยของเอเจนต์ AI ได้อย่างแท้จริง และทำให้การเปลี่ยนแปลงทางเทคโนโลยีนี้ก้าวหน้าอย่างมั่นคงและยั่งยืน

งานวิจัยต้นฉบับ: https://x.com/hhj4ck/status/2033527312042315816?s=20

https://mp.weixin.qq.com/s/Wxrzt7bAo86h3bOKkx6 UoA