CertiK тест: Як уразлива навичка OpenClaw обманює перевірку, несанкціоновано захоплює комп’ютер

Нещодавно платформа з відкритим кодом для самостійного управління AI-інтелектуальними агентами OpenClaw (у галузі відомий як “молюск” або “молюск-рак”) швидко здобула популярність завдяки своїй гнучкості у масштабуванні та можливості автономного контролю розгортання, ставши феноменальним продуктом у сегменті особистих AI-агентів. Її ядро екосистеми, Clawhub, як маркетплейс додатків, об’єднує величезну кількість сторонніх плагінів Skill, що дозволяють агентам одним натисканням розблокувати високорівневі можливості — від пошуку в інтернеті, створення контенту, до операцій з криптовалютними гаманцями, взаємодії з блокчейном, автоматизації систем тощо. Це спричинило вибухове зростання масштабу екосистеми та кількості користувачів.

Однак для таких сторонніх Skill, що працюють у високорівневому середовищі з високими привілеями, де знаходяться межі безпеки платформи?

Нещодавно найбільша у світі компанія з безпеки Web3 CertiK опублікувала нове дослідження безпеки Skill. У ньому зазначається, що сучасний ринок має хибне уявлення про межі безпеки екосистеми AI-інтелектуальних агентів: галузь здебільшого вважає “сканування Skill” основним захисним бар’єром, але ця система майже безсилля перед хакерськими атаками.

Якщо порівняти OpenClaw із операційною системою для розумного пристрою, то Skill — це різноманітні додатки, встановлені у цю систему. На відміну від звичайних споживчих додатків, деякі Skill у OpenClaw працюють у високорівневому режимі, маючи прямий доступ до локальних файлів, викликів системних інструментів, підключення зовнішніх сервісів, виконання команд у хостовому середовищі, а також можуть керувати криптовалютними активами користувача. У разі виникнення безпекової проблеми це може призвести до витоку конфіденційної інформації, віддаленого захоплення пристрою або крадіжки цифрових активів — наслідки можуть бути катастрофічними.

На даний момент у галузі існує загальна стратегія безпеки для сторонніх Skill — це “сканування та перевірка перед публікацією”. У свою чергу, Clawhub реалізував трирівневу систему перевірки: поєднання сканування коду за допомогою VirusTotal, статичного аналізу коду та перевірки логіки за допомогою AI, що на основі рівнів ризику виводить користувачам спливаючі повідомлення про безпеку, намагаючись захистити екосистему. Однак дослідження CertiK і проведені ними тестування підтвердили, що ця система має слабкі місця у реальних умовах протистояння атакам і не може забезпечити надійний захист.

Спершу дослідження розглянуло природні обмеження існуючих механізмів перевірки:

Правила статичного аналізу легко обійти. Цей механізм базується на пошуку характерних ознак у коді для визначення ризику, наприклад, поєднання “читання конфіденційної інформації з навколишнього середовища + зовнішні запити” вважається високоризиковою поведінкою. Але зловмисник може внести мінімальні зміни у синтаксис коду, зберігаючи при цьому зловмисну логіку, і таким чином обійти цю перевірку — наче замінити синоніми у небезпечному контенті, що робить систему безпеки безсилою.

AI-ревізія має вроджені сліпі зони. Основний компонент Clawhub — “перевірка логічної послідовності” — здатна виявити лише очевидний зловмисний код, що суперечить заявленій функціональності, але не може виявити приховані у нормальній логіці вразливості, що можна використати. Це схоже на те, що важко знайти смертельну пастку у контракті, який здається цілком законним.

Ще більш критичним є те, що процес перевірки має вади у своєму базовому дизайні: навіть якщо результати сканування VirusTotal ще у статусі “очікує обробки”, Skill може бути опублікований і доступний для користувачів без попереджень. Це дозволяє користувачам встановлювати його без попереджень, залишаючи відкритим шлях для зловмисників.

Щоб перевірити реальну загрозу, команда CertiK провела повний тест. Вони створили Skill під назвою “test-web-searcher”, який ззовні виглядає цілком легальним інструментом пошуку в інтернеті, з кодом, що відповідає стандартам розробки, але насправді містить уразливість віддаленого виконання коду.

Цей Skill обійшов статичний аналіз і AI-перевірку, і навіть при статусі “очікує обробки” у VirusTotal його можна було встановити без будь-яких попереджень. Потім, надіславши команду через Telegram, зловмисник активував уразливість і отримав можливість виконувати будь-які команди на пристрої — у демонстрації навіть відкрився калькулятор.

У дослідженні CertiK чітко зазначили, що ці проблеми не є унікальними для OpenClaw, а є поширеною хибною уявою у всій галузі AI-інтелектуальних агентів: багато хто вважає, що “перевірка та сканування” — це головний захисний бар’єр, але ігнорує фундаментальні принципи безпеки — ізоляцію під час роботи та тонке управління правами. Це схоже на безпеку екосистеми iOS від Apple, де не головне суворе модерація App Store, а система ізоляції додатків у sandbox, що обмежує доступ до системних ресурсів. У OpenClaw ця ізоляція є опційною і залежить від налаштувань користувача, і більшість користувачів, щоб зберегти функціональність Skill, вимикають ізоляцію, що робить систему вразливою: встановлення зловмисних або вразливих Skill може спричинити катастрофічні наслідки.

У відповідь на ці виявлення CertiK надав рекомендації щодо безпеки:

● Для розробників AI-інтелектуальних агентів, таких як OpenClaw, слід зробити ізоляцію у sandbox за замовчуванням обов’язковою для сторонніх Skill, впровадити тонке управління правами та заборонити сторонньому кодові успадковувати високі привілеї хост-системи за замовчуванням.

● Для звичайних користувачів, навіть Skill із позначкою “безпека” у маркетплейсі не гарантує абсолютної безпеки — це лише означає, що ризики не виявлені під час перевірки. Поки базовий механізм ізоляції не стане за замовчуванням, рекомендується запускати OpenClaw на ізольованих або віртуальних машинах, уникаючи збереження конфіденційних файлів, паролів і цінних криптоактивів поруч із системою.

Зараз сегмент AI-інтелектуальних агентів перебуває на порозі бурхливого зростання, і швидкість розширення екосистеми не повинна випереджати заходи безпеки. Перевірка та сканування здатні захистити лише від початкових атак, але не можуть стати єдиним бар’єром для високорівневих агентів. Лише зміщення фокусу з “ідеальної перевірки” на “запобігання шкоди при ризиках за замовчуванням” і впровадження жорсткої ізоляції під час роботи дозволять забезпечити безпеку AI-агентів і стабільно вести цю технологічну революцію вперед.