你的「小龍蝦」正在裸奔?CertiK實測:帶漏洞的OpenClaw Skill如何騙過審核,無授權接管電腦
- 核心觀點:CertiK的研究指出,以OpenClaw為代表的AI智能體平台普遍存在安全認知誤區,將「上架前審核掃描」作為核心安全防線是無效的,真正的安全根基在於運行時強制隔離與精細化權限管控,否則高權限運行的第三方Skill將帶來嚴重安全風險。
- 關鍵要素:
- 當前行業通用的「上架前掃描審核」機制存在缺陷:靜態檢測規則易被程式碼改寫繞過,AI審核無法發現邏輯內的隱藏漏洞,且審核未完成時Skill即可上架安裝。
- 概念驗證攻擊證實風險:CertiK開發的表面合規Skill繞過了所有檢測,在未完成VirusTotal掃描時即被安裝,並成功透過遠端指令觸發漏洞,實現了宿主設備的任意命令執行。
- 核心問題在於權限與隔離缺失:OpenClaw的沙盒機制為可選且依賴用戶手動配置,多數用戶為保功能會關閉沙盒,導致第三方Skill在高權限環境下「裸奔」,可直接存取敏感資訊和資產。
- 安全建議:開發者應將沙盒隔離設為第三方Skill的預設強制配置並精細化權限;用戶在官方改進前,應將平台部署於非敏感環境或虛擬機中,遠離高價值資產。
- 行業啟示:審核掃描只能攔截初級攻擊,無法成為高權限智能體的安全邊界,必須轉向「預設風險存在」的損害遏制思維,從運行時底層強制確立隔離。
近期,開源自託管 AI 智能體平台 OpenClaw(圈內俗稱「小龍蝦」)憑藉靈活的可擴展性、自主可控的部署特性迅速走紅,成為個人 AI 智能體賽道的現象級產品。其生態核心 Clawhub 作為應用市場,匯聚了海量第三方 Skill 功能插件,能讓智能體一鍵解鎖從網頁搜尋、內容創作,到加密錢包操作、鏈上互動、系統自動化等高階能力,生態規模與用戶量迎來爆發式成長。
但對於這類運行在高權限環境中的第三方 Skill,平台真正的安全邊界到底在哪裡?
近日,全球最大的 Web3 安全公司 CertiK,發布了針對 Skill 安全的最新研究。文中指出,當前市場對 AI 智能體生態的安全邊界存在認知錯位:行業普遍將「Skill 掃描」當作核心安全邊界,而這套機制在駭客攻擊面前幾乎形同虛設。
如果把 OpenClaw 比作一台智能設備的作業系統,Skill 就是安裝在系統裡的各類 APP。與普通消費級 APP 不同,OpenClaw 中的一些 Skill 運行在高權限環境中,可直接存取本機檔案、呼叫系統工具、連接外部服務、執行宿主環境命令,甚至操作用戶的加密數位資產,一旦出現安全問題,將直接導致敏感資訊外洩、設備被遠端接管、數位資產被盜等嚴重後果。
目前整個行業針對第三方 Skill 的通用安全解決方案,是「上架前掃描審核」。OpenClaw 的 Clawhub 也搭建了一套三層審核防護體系:融合 VirusTotal 程式碼掃描、靜態程式碼檢測引擎、AI 邏輯一致性檢測,透過風險分級給用戶推送安全彈窗提示,試圖以此守住生態安全。但 CertiK 的研究與概念驗證攻擊測試證實,這套檢測體系在真實的攻防對抗中存在短板,無法承擔起安全防護的核心重任。
研究首先拆解了現有檢測機制的天然局限性:
靜態檢測規則極易被繞過。這套引擎核心靠匹配程式碼特徵識別風險,比如將「讀取環境敏感資訊 + 外發網路請求」的組合判定為高風險行為,但攻擊者只需對程式碼做輕微的語法改寫,在完全保留惡意邏輯的前提下,就能輕鬆繞過特徵匹配,如同給危險內容換了一套同義表述,就讓安檢儀徹底失效。
AI 審核存在先天檢測盲區。Clawhub 的 AI 審核核心定位是「邏輯一致性檢測器」,只能揪出「聲明功能與實際行為不符」的明顯惡意程式碼,卻對隱藏在正常業務邏輯裡的可利用漏洞束手無策,就像很難從一份看似合規的合約裡,發現藏在條款深處的致命陷阱。
更致命的是,審核流程存在底層設計缺陷:即便 VirusTotal 的掃描結果還處於「待處理」狀態,未完成全流程「體檢」的 Skill 也能直接上架公開,用戶可在無警告的情況下完成安裝,給攻擊者留下了可乘之機。
為了驗證風險的真實危害性,CertiK 研究團隊完成了完整的測試。團隊開發了一款名為「test-web-searcher」的 Skill,表面上是完全合規的網頁搜尋工具,程式碼邏輯完全符合常規開發規範,實則在正常功能流程中植入了遠端程式碼執行漏洞。
該 Skill 繞過了靜態引擎與 AI 審核的檢測,在 VirusTotal 掃描仍為待處理狀態時,就實現了無任何安全警告的正常安裝;最終透過 Telegram 遠端發了一句指令,就成功觸發漏洞,在宿主設備上實現了任意命令執行(演示中直接控制系統彈出了計算器)。
CertiK 在研究中明確指出,這些問題並非 OpenClaw 獨有的產品 bug,而是整個 AI 智能體行業的普遍認知誤區:行業普遍把「審核掃描」當成了核心安全防線,卻忽略了真正的安全根基,是運行時的強制隔離與精細化權限管控。這就像蘋果 iOS 生態的安全核心,從來不是 App Store 的嚴格審核,而是系統強制的沙盒機制、精細化的權限管控,讓每個 APP 只能在專屬的「隔離艙」裡運行,無法隨意獲取系統權限。而 OpenClaw 現有的沙盒機制是可選而非強制的,且高度依賴用戶手動配置,絕大多數用戶為了保證 Skill 的功能可用性,都會選擇關閉沙盒,最終讓智能體處於「裸奔」狀態,一旦安裝了帶漏洞或惡意程式碼的 Skill,就會直接導致災難性後果。
針對此次發現的問題,CertiK 也給出了安全指引:
● 對 OpenClaw 等 AI 智能體開發者而言,須將沙盒隔離設為第三方 Skill 的預設強制配置,精細化 Skill 的權限管控模型,絕不允許第三方程式碼預設繼承宿主機的高權限。
● 對普通用戶而言,Skill 市場裡帶有「安全」標籤的 Skill,僅僅代表它未被檢測出風險,不等於絕對安全。在官方將底層的強隔離機制設為預設配置之前,建議把 OpenClaw 部署在不重要的閒置設備或虛擬機中,千萬不要讓它靠近敏感檔案、密碼憑證和高價值加密資產。
當前 AI 智能體賽道正處於爆發前夜,生態擴張的速度絕不能跑贏安全建設的腳步。審核掃描只能攔住初級的惡意攻擊,卻永遠成不了高權限智能體的安全邊界。唯有從「追求完美檢測」轉向「預設風險存在的損害遏制」,從運行時底層強制確立隔離邊界,才能真正兜住 AI 智能體的安全底線,讓這場技術變革行穩致遠。
