在最近的一项研究中,团队展示了如何通过破坏OpenClaw平台上的第三方“技能”来绕过现有的安全措施,并在主机系统上执行任意命令。研究结果突显了AI代理市场在审查和部署外部代码方面的结构性弱点。
该研究重点分析了Clawhub采用的审查流程,包括静态代码分析、VirusTotal检查以及基于AI的审核工具。
热点新闻
富爸爸穷爸爸作者:比特币将突破75万美元
加密市场回顾:XRP准备涨至1.70美元,以太坊(ETH)进入牛市模式,柴犬币(SHIB)是否终于进入牛市?
根据CertiK,这些机制可以通过相对较小的代码修改被绕过。通过略微改变逻辑或重构漏洞,恶意技能在安装时可能表现得无害,但一旦部署后仍能执行有害操作。
这为用户带来了虚假的安全感,因为市场审查系统的批准并不保证技能的安全。
该概念验证攻击强调了影响AI代理生态系统的更广泛问题:安全模型过度依赖部署前的审查,而忽视了运行时保护。
如果没有沙箱、严格的权限控制和运行时隔离等保障措施,平台实际上将过多责任推给了本不适合应对复杂、不断演变威胁的检测系统。
研究发现,随着AI代理市场的扩大,恶意或被破坏的技能进入生产环境的风险将增加。
CertiK的研究人员认为,行业必须重新思考其保护AI代理的策略,应优先考虑运行时的封装,而非仅依赖检测。
平台不应假设所有恶意代码都能在部署前被识别,而应设计成即使部分威胁绕过审查,也能在运行中进行限制。在这种模式下,重点从防止每一次入侵转向最小化单次入侵带来的潜在损害。
这标志着从“完美检测”思维向以损害控制和系统韧性为核心的转变。
为应对这些风险,CertiK提出了多项针对构建AI代理平台的措施。
沙箱应成为第三方技能的默认执行模型,确保外部代码在隔离环境中运行,而非直接与主机系统交互。
此外,平台应实施细粒度的每技能权限框架。每个技能应明确声明所需资源,运行时在执行过程中强制执行这些权限。这种做法可以限制被破坏或恶意组件的潜在影响。
研究人员还强调,第三方技能不应继承主机系统的广泛隐性信任,因为这大大增加了被利用的风险。
对于用户,报告强调了一个重要限制:市场中的“良性”标签并不等同于真正的安全。它仅表示现有的审查流程未检测到威胁。
在更广泛的层面上,研究指出了AI生态系统中的结构性问题。虽然审查流程可以帮助识别明显的威胁,但不能作为执行具有提升权限的第三方代码系统的主要防御机制。
CertiK总结认为,真正的安全改进需要在AI代理平台的设计上进行转变。
开发者不应依赖日益复杂的检测系统,而应构建假设失败可能发生的环境,确保任何入侵都能被限制。这包括采用更强的隔离技术、执行严格的权限控制,以及将运行时安全作为核心保护层。
随着AI驱动的应用不断变得复杂和普及,能够在运行时控制风险的能力,可能成为保障下一代数字生态系统安全的关键因素。
