CertiK провел тест: как уязвимый навык OpenClaw обманывает проверку и без разрешения захватывает управление компьютером

Недавно платформа открытого исходного кода для автономных AI-агентов OpenClaw (внутри индустрии известная как «Маленький рак») быстро стала популярной благодаря своей гибкой масштабируемости и возможностям автономного контроля развертывания, став феноменальным продуктом в сегменте личных AI-агентов. Ее ядро экосистемы Clawhub, выступающее в роли маркетплейса приложений, объединяет огромное количество сторонних плагинов Skill, позволяющих агентам за одну кнопку разблокировать расширенные функции — от поиска в интернете и создания контента до операций с криптокошельками, взаимодействия с блокчейном и автоматизации систем. В результате масштаб и число пользователей экосистемы начали стремительно расти.

Но где на самом деле находится граница безопасности для таких сторонних Skill, работающих в среде с высокими привилегиями?

Недавно крупнейшая в мире компания по безопасности Web3 CertiK опубликовала новое исследование по безопасности Skill. В нем отмечается, что в текущем рынке существует искажение восприятия границ безопасности экосистемы AI-агентов: большинство индустрии считает, что «сканирование Skill» — это основная граница безопасности, однако эта система практически бесполезна перед лицом хакерских атак.

Если сравнить OpenClaw с операционной системой для умных устройств, то Skill — это приложения, установленные в системе. В отличие от обычных потребительских приложений, некоторые Skill в OpenClaw работают в среде с высокими привилегиями: они могут напрямую обращаться к локальным файлам, вызывать системные инструменты, подключаться к внешним сервисам, выполнять команды хост-среды и даже управлять криптовалютными активами пользователя. В случае возникновения уязвимости это может привести к утечке конфиденциальной информации, удаленному управлению устройством или краже цифровых активов — последствия могут быть крайне серьезными.

На сегодняшний день в индустрии существует универсальное решение для безопасности сторонних Skill — «предварительное сканирование и проверка перед публикацией». В рамках этого подхода OpenClaw использует трехуровневую систему проверки: интеграцию с VirusTotal для сканирования кода, статический анализ кода и проверку логической согласованности AI. Пользователю выводятся предупреждающие окна о рисках, что должно обеспечивать безопасность экосистемы. Однако исследования CertiK и проведенные ими тесты на практике показали, что эта система имеет существенные недостатки и не способна обеспечить надежную защиту в реальных условиях противостояния.

Исследование выявило основные ограничения существующих методов:

Статический анализ легко обходится. Этот механизм основан на распознавании опасных признаков в коде, например, «чтение чувствительных данных окружения + отправка запросов в сеть». Хакеры могут легко изменить синтаксис кода, сохранив вредоносную логику, и тем самым обойти фильтры — как будто заменили синонимы, что делает систему проверки бесполезной.

AI-отбор имеет врожденные слепые зоны. Основной механизм AI — «проверка логической согласованности» — способен выявлять только явно вредоносные функции, такие как несоответствие заявленных и фактических действий. Он не может обнаружить скрытые уязвимости внутри обычной бизнес-логики, подобно тому, как трудно найти смертельную ловушку в казалось бы законном контракте.

Еще более опасно — недостатки в архитектуре проверки. Даже если результаты VirusTotal еще находятся в статусе «ожидает обработки», Skill может быть опубликован и доступен для установки без предупреждений. Пользователь может установить его без предупреждения, что оставляет злоумышленнику возможность использовать уязвимость.

Для проверки реальной опасности CertiK создали специальную тестовую Skill под названием “test-web-searcher”. На первый взгляд это полностью легальный инструмент поиска в интернете, полностью соответствующий стандартам разработки. Но внутри она содержит скрытую уязвимость — удаленную команду выполнения кода.

Эта Skill прошла проверку статического анализа и AI, и даже при статусе «ожидает обработки» в VirusTotal она могла быть установлена без предупреждений. Впоследствии, отправив команду через Telegram, злоумышленник смог активировать уязвимость и выполнить произвольные команды на устройстве — в демонстрации даже запустился калькулятор.

CertiK ясно указал, что эти проблемы не уникальны для OpenClaw, а являются общей ошибкой восприятия в индустрии AI-агентов: многие считают, что «сканирование и проверка» — это основная защита, игнорируя фундаментальную безопасность — изоляцию во время выполнения и тонкое управление правами. Это похоже на систему безопасности экосистемы iOS, где ключевым элементом является не строгий контроль приложений в App Store, а встроенная система песочницы и детальное управление разрешениями, позволяющее приложениям работать только в изолированной среде, без доступа к системным ресурсам. В OpenClaw текущая песочница — это опция, а не обязательное требование, и она сильно зависит от ручных настроек пользователя. Большинство пользователей отключают песочницу ради удобства, что превращает систему в «голую» — установка уязвимых или вредоносных Skill может привести к катастрофическим последствиям.

В ответ на выявленные проблемы CertiK дал рекомендации по обеспечению безопасности:

● Разработчикам OpenClaw и подобных платформ необходимо сделать изоляцию в песочнице обязательной настройкой по умолчанию для сторонних Skill, внедрить более тонкое управление правами и не допускать, чтобы сторонний код по умолчанию наследовал высокие привилегии хоста.

● Пользователям рекомендуется не доверять только ярлыкам «безопасно» в магазине Skill. Наличие такого ярлыка означает лишь, что риск не обнаружен, но не гарантирует абсолютную безопасность. Пока встроенная изоляция не станет обязательной по умолчанию, рекомендуется запускать OpenClaw на изолированных или виртуальных машинах, избегая доступа к важным файлам, паролям и ценным криптоактивам.

Сейчас индустрия AI-агентов находится на пороге масштабного роста, и скорость расширения экосистемы не должна опережать развитие мер безопасности. Проверка и сканирование — это лишь базовая защита от начальных атак, но не может стать основой безопасности для высокопривилегированных агентов. Необходимо перейти от «стремления к идеальному обнаружению» к «принятию риска и ограничению ущерба», а также обеспечить жесткую изоляцию во время выполнения — только так можно обеспечить надежную защиту и обеспечить устойчивое развитие этой технологической революции.