Ваш "павлин" працює в "голому вигляді"? CertiK на практиці: як вразливий OpenClaw Skill обманув перевірку та отримав несанкціоноване керування комп'ютером

Нещодавно платформа відкритого коду для автономних AI-інтелектуальних агентів OpenClaw (у галузі відомий як “Маленька ракова”) швидко здобула популярність завдяки гнучкій масштабованості та автономності розгортання, ставши феноменальним продуктом у сегменті особистих AI-агентів. Її ядро екосистеми Clawhub, як маркетплейс додатків, об’єднує величезну кількість сторонніх плагінів Skill, що дозволяють агентам за один клік отримати високорівневі можливості — від пошуку в інтернеті, створення контенту, до роботи з криптогаманцями, взаємодії з блокчейном та автоматизації систем. Це спричинило вибухове зростання масштабів екосистеми та кількості користувачів.

Але де насправді знаходиться безпечна межа для таких сторонніх Skill, що працюють у високорівневих середовищах?

Нещодавно найбільша у світі компанія з безпеки Web3 CertiK опублікувала нове дослідження безпеки Skill. У статті зазначається, що існує розбіжність у сприйнятті безпеки екосистеми AI-інтелектуальних агентів: галузь здебільшого вважає “сканування Skill” основною межею безпеки, але ця система майже безсилля перед хакерськими атаками.

Якщо порівняти OpenClaw із операційною системою для розумного пристрою, то Skill — це додатки, встановлені у цій системі. На відміну від звичайних споживчих додатків, деякі Skill у OpenClaw працюють у високорівневих режимах, мають доступ до локальних файлів, можуть викликати системні інструменти, підключатися до зовнішніх сервісів, виконувати команди хост-середовища, а іноді й керувати криптовалютними активами користувача. У разі виявлення вразливості це може призвести до витоку конфіденційної інформації, віддаленого керування пристроєм або крадіжки цифрових активів.

На даний момент у галузі поширеним рішенням безпеки для сторонніх Skill є “сканування та перевірка перед публікацією”. OpenClaw із Clawhub створили трьохрівневу систему перевірки: поєднання сканування коду VirusTotal, статичного аналізу та перевірки логіки за допомогою AI, що на основі ризиків виводить сповіщення користувачам. Однак дослідження CertiK і тестові атаки показали, що ця система має слабкі місця і не може гарантувати безпеку.

Дослідження починається з аналізу обмежень існуючих механізмів:

Статичне сканування легко обійти. Воно базується на пошуку характерних ознак у коді, наприклад, “зчитування конфіденційної інформації з оточення + зовнішні запити”, що вважається високоризиковим. Але зловмисник може внести мінімальні зміни у синтаксис, зберігаючи при цьому зловмисну логіку, і обійти цю перевірку, наче замінивши синоніми у небезпечному тексті — і система безпеки стане безсильною.

AI-ревізія має свої вроджені обмеження. Основна її функція — “перевірка логічної послідовності”, яка може виявити явний зловмисний код, що не відповідає заявленим функціям. Але вона безсилля перед прихованими у нормальній логіці вразливостями, що ховаються глибоко у бізнес-логіці, — наче важко знайти смертельну пастку у контрактних умовах, що здаються цілком законними.

Ще гірше — у процесі перевірки існує фундаментальна вразливість: навіть якщо результати сканування VirusTotal ще у статусі “очікує обробки”, Skill може бути опублікований і доступний для встановлення без попереджень користувачам, що створює можливості для зловмисників.

Щоб перевірити реальну загрозу, CertiK провели повний тест. Вони створили Skill під назвою “test-web-searcher” — нібито цілком легальний пошуковий інструмент, що відповідає стандартам розробки, але у його функціонал було вмонтовано уразливість віддаленого виконання коду.

Цей Skill обійшов статичний аналіз і AI-перевірку, і навіть при статусі “очікує обробки” у VirusTotal його можна було встановити без попереджень. А потім, надіславши команду через Telegram, він успішно активував уразливість і виконав довільний код на пристрої — у демонстрації було показано, що з’явився калькулятор.

CertiK чітко зазначає, що ці проблеми не є унікальними для OpenClaw, а — це поширена помилка у всій галузі AI-інтелектуальних агентів: галузь зосереджена на “скануванні та перевірці” як на головній безпековій межі, ігноруючи фундаментальні принципи безпеки — ізоляцію під час роботи та тонке управління правами. Це нагадує безпеку екосистеми iOS від Apple: її основа — не суворий контроль App Store, а система ізоляції (sandbox) та детальне управління дозволами, що дозволяє кожному додатку працювати лише у власному “ізольованому контейнері” і не отримувати системних привілеїв. У OpenClaw ця ізоляція є опційною і залежить від користувача, а більшість користувачів, щоб зберегти функціональність Skill, вимикають ізоляцію, що ставить систему у “голий” режим. Внаслідок цього, встановлення зловмисних або вразливих Skill може спричинити катастрофічні наслідки.

У відповідь на ці виявлення CertiK надає рекомендації з безпеки:

● Розробникам AI-інтелектуальних агентів, таких як OpenClaw, слід зробити ізоляцію у sandbox за замовчуванням обов’язковою для сторонніх Skill, впровадити тонке управління правами та не дозволяти сторонньому коду автоматично успадковувати високі привілеї хоста.

● Користувачам рекомендується розглядати Skill із позначкою “безпека” як лише ознаку відсутності виявлених ризиків, але не гарантію абсолютної безпеки. Поки базовий механізм ізоляції не стане за замовчуванням, рекомендується запускати OpenClaw на ізольованих або віртуальних машинах, уникати збереження конфіденційних даних, паролів і високовартісних активів у системі.

Зараз сегмент AI-інтелектуальних агентів перебуває на порозі бурхливого зростання, і швидкість розширення екосистеми не повинна випереджати заходи безпеки. Тільки зсередини, через впровадження жорсткої ізоляції під час роботи та управління правами, можна забезпечити надійний захист і стабільний розвиток цієї технології.