CertiK prueba: cómo una habilidad OpenClaw con vulnerabilidades puede engañar la revisión y tomar control del ordenador sin autorización

Recientemente, la plataforma de IA de código abierto y autogestionada OpenClaw (conocida popularmente en la industria como “Camarón”) ha ganado rápidamente popularidad gracias a su flexibilidad y capacidad de despliegue autónomo, convirtiéndose en un producto fenomenal en el sector de los agentes inteligentes de IA. Su núcleo ecológico, Clawhub, como mercado de aplicaciones, reúne una gran cantidad de plugins de habilidades de terceros, permitiendo a los agentes desbloquear de un clic capacidades avanzadas que van desde búsquedas en la web y creación de contenido, hasta operaciones con billeteras criptográficas, interacciones en cadena y automatización del sistema. La escala del ecosistema y la cantidad de usuarios están experimentando un crecimiento explosivo.

Pero, ¿dónde se encuentra realmente el límite de seguridad para estas habilidades de terceros que operan en entornos con altos privilegios?

Recientemente, la mayor empresa de seguridad Web3 del mundo, CertiK, publicó una investigación sobre la seguridad de las habilidades. En el documento se señala que existe una percepción equivocada en el mercado respecto a los límites de seguridad del ecosistema de IA: la industria generalmente considera que la “escaneo de habilidades” es el principal límite de seguridad, pero este mecanismo es casi inútil frente a ataques de hackers.

Si comparamos OpenClaw con un sistema operativo de un dispositivo inteligente, las habilidades (Skills) serían las diferentes aplicaciones instaladas en el sistema. A diferencia de las aplicaciones de consumo comunes, algunas habilidades en OpenClaw operan en entornos con altos privilegios, pudiendo acceder directamente a archivos locales, llamar a herramientas del sistema, conectarse a servicios externos, ejecutar comandos en el entorno anfitrión e incluso manipular activos digitales cifrados del usuario. Si surge un problema de seguridad, esto puede resultar en filtración de información sensible, control remoto del dispositivo, robo de activos digitales y otras consecuencias graves.

Actualmente, la solución de seguridad general para habilidades de terceros en la industria es el “escaneo y revisión previa a la publicación”. OpenClaw y su Clawhub han implementado un sistema de revisión en tres niveles: integración de escaneo de código con VirusTotal, motor de detección de código estático y detección de coherencia lógica mediante IA. Este sistema, mediante la clasificación de riesgos, muestra alertas de seguridad a los usuarios, intentando proteger la seguridad del ecosistema. Sin embargo, las investigaciones y pruebas de ataques de CertiK han demostrado que este sistema presenta deficiencias en escenarios reales de ataque y defensa, y no puede asumir el papel principal en la protección de seguridad.

El estudio primero desglosa las limitaciones inherentes a los mecanismos de detección existentes:

Las reglas de detección estática son fácilmente eludibles. Este motor se basa en identificar riesgos mediante coincidencias de características del código, por ejemplo, considerar como comportamiento de alto riesgo la combinación de “leer información sensible del entorno + realizar solicitudes de red externas”. Pero los atacantes solo necesitan hacer cambios menores en la sintaxis del código, manteniendo la lógica maliciosa, para evadir la detección por coincidencias, como si cambiaran la forma de expresar el contenido peligroso, haciendo que los sistemas de seguridad fallen completamente.

La auditoría con IA tiene limitaciones innatas. El núcleo de la revisión con IA en Clawhub se centra en un “detector de coherencia lógica”, que solo puede detectar código claramente malicioso que declare funciones que no corresponden con su comportamiento real, pero no puede detectar vulnerabilidades ocultas en lógica normal de negocio, como si fuera difícil encontrar trampas mortales en un contrato aparentemente conforme.

Aún más grave, el proceso de revisión tiene defectos en su diseño básico: incluso si los resultados del escaneo con VirusTotal están en estado “pendiente”, las habilidades que no han pasado toda la revisión aún pueden ser publicadas y puestas en línea, permitiendo a los usuarios instalarlas sin advertencias, dejando una puerta abierta para los atacantes.

Para verificar el riesgo real, el equipo de CertiK realizó pruebas completas. Crearon una habilidad llamada “test-web-searcher”, que en apariencia es una herramienta de búsqueda web completamente conforme a las normas, con lógica de código estándar, pero en realidad contenía una vulnerabilidad de ejecución remota de código en su flujo normal.

Esta habilidad logró evadir las detecciones del motor estático y de IA, y cuando aún estaba en estado “pendiente” en VirusTotal, se pudo instalar sin advertencias de seguridad. Finalmente, mediante un comando remoto enviado por Telegram, se activó la vulnerabilidad, logrando ejecutar comandos arbitrarios en el dispositivo anfitrión (en la demostración, se abrió directamente la calculadora del sistema).

CertiK concluye que estos problemas no son exclusivos de OpenClaw, sino que reflejan una percepción errónea general en toda la industria de agentes inteligentes de IA: se confía demasiado en la “revisión y escaneo” como la principal línea de defensa, pero se ignora que la verdadera base de la seguridad radica en la aislamiento en tiempo de ejecución y en un control de permisos preciso. Esto es similar a la seguridad en el ecosistema iOS de Apple, donde la verdadera seguridad no proviene de una revisión estricta en la App Store, sino del mecanismo de sandbox del sistema y del control detallado de permisos, que limita cada aplicación a un “contenedor aislado” y evita que accedan libremente a permisos del sistema. En cambio, el mecanismo de sandbox en OpenClaw es opcional y depende en gran medida de la configuración manual del usuario; la mayoría de los usuarios, para mantener la funcionalidad de las habilidades, optan por desactivar el sandbox, dejando al agente en un estado de “exposición total”. Si se instala una habilidad con vulnerabilidades o código malicioso, las consecuencias pueden ser catastróficas.

Frente a estos hallazgos, CertiK también ofrece recomendaciones de seguridad:

● Para los desarrolladores de IA como OpenClaw, establecer la隔离 en sandbox como configuración predeterminada y obligatoria para las habilidades de terceros, y diseñar un modelo de control de permisos detallado, sin permitir que el código de terceros herede automáticamente los altos privilegios del host.

● Para los usuarios comunes, las habilidades marcadas como “seguras” en el mercado solo indican que no han sido detectadas con riesgos, pero no garantizan que sean completamente seguras. Antes de que los mecanismos de aislamiento profundo se establezcan como predeterminados, se recomienda desplegar OpenClaw en dispositivos o máquinas virtuales no críticos, y evitar que tenga acceso a archivos sensibles, credenciales o activos criptográficos de alto valor.

El sector de agentes inteligentes de IA está en la antesala de una explosión, y la expansión del ecosistema no debe superar la velocidad de construcción de la seguridad. La revisión y escaneo solo pueden detener ataques básicos, pero nunca serán la frontera de seguridad para agentes con altos privilegios. Solo mediante un cambio de enfoque, pasando de “búsqueda de detección perfecta” a “mitigación de riesgos inherentes en la operación”, y estableciendo de forma forzada límites de aislamiento en tiempo de ejecución, se podrá garantizar una línea de defensa sólida para la seguridad de los agentes inteligentes, asegurando que esta transformación tecnológica avance de manera estable y segura.