CertiK Test pratique : Comment OpenClaw Skill avec vulnérabilités contourne l'audit, prenant le contrôle d'ordinateurs sans autorisation

null

Récemment, OpenClaw (communément appelé « écrevisse » dans le cercle), une plateforme d’agents IA gérés développée par Kaiyuan, est rapidement devenue populaire grâce à sa scalabilité flexible, ses caractéristiques de déploiement indépendants et contrôlables, et est devenue un produit phénoménal dans le domaine des agents IA personnels. En tant que marché applicatif, Clawhub, le cœur de son écosystème, regroupe un grand nombre de plug-ins tiers pour les fonctions Skills, qui permettent aux agents de débloquer des fonctionnalités haut de gamme telles que la recherche web et la création de contenu en un clic, les opérations de portefeuilles crypto, l’interaction en chaîne, l’automatisation système, etc., et l’échelle écologique ainsi que le volume d’utilisateurs ont favorisé une croissance explosive.

Mais pour ces compétences tierces évoluant dans des environnements à haut privilège, où se trouve la véritable limite de sécurité de la plateforme ?

Récemment, CertiK, la plus grande entreprise mondiale de sécurité Web3, a publié la dernière recherche sur la sécurité des compétences. L’article souligne qu’il existe une mauvaise compréhension de la frontière de sécurité de l’écosystème des agents IA sur le marché actuel : l’industrie considère généralement le « skill scanning » comme la limite de sécurité centrale, et ce mécanisme est presque inutile face aux attaques de hackers.

Si l’on compare OpenClaw au système d’exploitation d’un appareil intelligent, Skill correspond aux différentes applications installées dans le système. Contrairement aux applications grand public ordinaires, certaines compétences d’OpenClaw fonctionnent dans un environnement à haut privilège, qui peut accéder directement à des fichiers locaux, appeler des outils système, se connecter à des services externes, exécuter des commandes d’environnement hôte et même manipuler les actifs numériques chiffrés des utilisateurs.

La solution universelle de sécurité à l’échelle de l’industrie pour les compétences tierces est le « scan pré-lancement ». Clawhub d’OpenClaw a également développé un système de protection contre l’audit à trois couches : intégrant le balayage de code VirusTotal, le moteur de détection statique de code et la détection de cohérence de la logique IA, et transmettant des fenêtres contextuelles de sécurité aux utilisateurs via la classification des risques afin de maintenir la sécurité écologique. Cependant, les recherches de CertiK et les tests d’attaque de preuve de concept ont confirmé que ce système de détection présente des lacunes dans les confrontations offensives et défensives réelles et ne peut pas assumer la responsabilité centrale de la protection de la sécurité.

L’étude a d’abord démystifié les limites naturelles des mécanismes de détection existants :

Les règles de détection statique sont très faciles à contourner. Le cœur de ce moteur repose sur la correspondance des fonctionnalités du code pour identifier les risques, comme déterminer la combinaison de « lecture d’informations environnementales sensibles + requêtes réseau sortantes » comme comportement à haut risque, mais les attaquants n’ont besoin que de légères réécritures syntaxiques du code, et peuvent facilement contourner la correspondance de fonctionnalités sous prétexte de conserver complètement une logique malveillante, tout comme changer un ensemble d’expressions synonymes pour du contenu dangereux, ce qui invalide complètement le détecteur de sécurité.

Il existe des angles morts congénitaux dans l’audit IA. Le positionnement central de l’audit IA de Clawhub est un « détecteur de cohérence logique », qui ne peut détecter que du code malveillant évident « déclarant que la fonction ne correspond pas au comportement réel », mais est impuissant face aux vulnérabilités exploitables cachées dans la logique métier normale, tout comme il est difficile de trouver des pièges mortels cachés profondément dans les clauses d’un contrat apparemment conforme.

Ce qui est encore plus fatal, c’est qu’il existe une faille de conception sous-jacente dans le processus d’examen : même si les résultats du scan de VirusTotal sont encore en état « en attente », les compétences qui n’ont pas complété l’ensemble du processus d’« examen physique » peuvent être directement publiées au public, et les utilisateurs peuvent terminer l’installation sans avertissement, laissant ainsi une opportunité aux attaquants d’en profiter.

Pour vérifier la véritable nocivité du risque, l’équipe de recherche de CertiK a réalisé un test complet. L’équipe a développé une compétence appelée « test-web-searcher », qui est censée être un outil de recherche web entièrement conforme, et la logique du code est entièrement conforme aux spécifications de développement habituelles, mais en réalité elle implante une vulnérabilité d’exécution de code à distance dans le processus fonctionnel normal.

Cette compétence contourne la détection statique du moteur et de l’audit IA, permettant une installation normale sans aucun avertissement de sécurité tant que le scan VirusTotal est toujours en attente. Enfin, une commande a été envoyée à distance via Telegram, la vulnérabilité a été déclenchée avec succès, et une exécution arbitraire de commande a été réalisée sur l’appareil hôte (l’ordinateur est apparu directement dans le système de contrôle lors de la démonstration).

CertiK a clairement souligné dans l’étude que ces problèmes ne sont pas des bugs de produits propres à OpenClaw, mais une incompréhension courante de toute l’industrie des agents IA : l’industrie considère généralement « l’audit scanning » comme la ligne centrale de défense de sécurité, mais ignore la véritable base de sécurité, qui est l’isolement forcé et le contrôle des permissions affiné à l’exécution. C’est comme le cœur de sécurité de l’écosystème iOS d’Apple, qui n’est jamais une révision stricte de l’App Store, mais un mécanisme de boîte à sable imposé par le système et un contrôle des permissions affiné, de sorte que chaque application ne peut s’exécuter que dans sa propre « cabine d’isolement » et ne peut pas obtenir les permissions système à volonté. La grande majorité des utilisateurs choisiront de désactiver le bac à sable afin d’assurer la disponibilité fonctionnelle de la compétence, et finiront par laisser l’agent dans un état « nu ».

En réponse aux problèmes identifiés, CertiK a également donné des directives de sécurité :

● Pour les développeurs d’agents IA tels qu’OpenClaw, l’isolation du bac à sable doit être définie comme configuration obligatoire par défaut pour les compétences tierces, affiner le modèle de contrôle des permissions des compétences, et ne jamais permettre au code tiers d’adopter par défaut les privilèges élevés de l’hôte.

● Pour les utilisateurs ordinaires, une compétence avec une étiquette « sûre » sur le marché des compétences signifie seulement qu’elle n’a pas été détectée comme un risque, ce qui ne signifie pas qu’elle est absolument sûre. Tant que le mécanisme d’isolation fort sous-jacent n’est pas officiellement défini comme configuration par défaut, il est recommandé de déployer OpenClaw sur des appareils ou machines virtuelles inactifs sans importance, et de ne jamais le laisser s’approcher de fichiers sensibles, de crédents de mot de passe et d’actifs cryptographiques de grande valeur.

Actuellement, la piste des agents IA est à la veille de l’épidémie, et la vitesse de l’expansion écologique ne doit pas dépasser celle de la construction de la sécurité. Le balayage d’audit ne peut empêcher que les attaques malveillantes primaires, mais il ne constituera jamais une frontière de sécurité pour les agents à haut privilège. Ce n’est qu’en passant de « la détection parfaite » à la « limitation par défaut des dommages à risque » et en établissant de force des limites d’isolement à partir du bas du temps d’exécution que nous pourrons vraiment protéger la sécurité des agents IA et rendre ce changement technologique stable et étendu.

Étude originale :

UoA