你的“小龙虾”正在裸奔?CertiK实测:带漏洞的OpenClaw Skill如何骗过审核,无授权接管电脑
如果把 OpenClaw 比作一台智能设备的操作系统,Skill 就是安装在系统里的各类 APP,一旦出现安全问题,将直接导致敏感信息泄露、设备被远程接管、数字资产被盗等严重后果。
近期,开源自托管 AI 智能体平台 OpenClaw(圈内俗称“小龙虾”)凭借灵活的可扩展性、自主可控的部署特性迅速走红,成为个人 AI 智能体赛道的现象级产品。其生态核心 Clawhub 作为应用市场,汇聚了海量第三方 Skill 功能插件,能让智能体一键解锁从网页搜索、内容创作,到加密钱包操作、链上交互、系统自动化等高阶能力,生态规模与用户量迎来爆发式增长。
但对于这类运行在高权限环境中的第三方 Skill,平台真正的安全边界到底在哪里?
近日,全球最大的 Web3 安全公司 CertiK,发布了针对 Skill 安全的最新研究。文中指出,当前市场对 AI 智能体生态的安全边界存在认知错位:行业普遍将“Skill 扫描”当作核心安全边界,而这套机制在黑客攻击面前几乎形同虚设。
如果把 OpenClaw 比作一台智能设备的操作系统,Skill 就是安装在系统里的各类 APP。与普通消费级 APP 不同,OpenClaw 中的一些 Skill 运行在高权限环境中,可直接访问本地文件、调用系统工具、连接外部服务、执行宿主环境命令,甚至操作用户的加密数字资产,一旦出现安全问题,将直接导致敏感信息泄露、设备被远程接管、数字资产被盗等严重后果。
目前整个行业针对第三方 Skill 的通用安全解决方案,是“上架前扫描审核”。OpenClaw 的 Clawhub 也搭建了一套三层审核防护体系:融合 VirusTotal 代码扫描、静态代码检测引擎、AI 逻辑一致性检测,通过风险分级给用户推送安全弹窗提示,试图以此守住生态安全。但 CertiK 的研究与概念验证攻击测试证实,这套检测体系在真实的攻防对抗中存在短板,无法承担起安全防护的核心重任。
研究首先拆解了现有检测机制的天然局限性:
静态检测规则极易被绕过。这套引擎核心靠匹配代码特征识别风险,比如将“读取环境敏感信息 + 外发网络请求”的组合判定为高危行为,但攻击者只需对代码做轻微的语法改写,在完全保留恶意逻辑的前提下,就能轻松绕过特征匹配,如同给危险内容换了一套同义表述,就让安检仪彻底失效。
AI 审核存在先天检测盲区。Clawhub 的 AI 审核核心定位是“逻辑一致性检测器”,只能揪出“声明功能与实际行为不符”的明显恶意代码,却对隐藏在正常业务逻辑里的可利用漏洞束手无策,就像很难从一份看似合规的合同里,发现藏在条款深处的致命陷阱。
更致命的是,审核流程存在底层设计缺陷:即便 VirusTotal 的扫描结果还处于“待处理”状态,未完成全流程“体检”的 Skill 也能直接上架公开,用户可在无警告的情况下完成安装,给攻击者留下了可乘之机。
为了验证风险的真实危害性,CertiK 研究团队完成了完整的测试。团队开发了一款名为“test-web-searcher”的 Skill,表面上是完全合规的网页搜索工具,代码逻辑完全符合常规开发规范,实则在正常功能流程中植入了远程代码执行漏洞。
该 Skill 绕过了静态引擎与 AI 审核的检测,在 VirusTotal 扫描仍为待处理状态时,就实现了无任何安全警告的正常安装;最终通过 Telegram 远程发了一句指令,就成功触发漏洞,在宿主设备上实现了任意命令执行(演示中直接控制系统弹出了计算器)。
CertiK 在研究中明确指出,这些问题并非 OpenClaw 独有的产品 bug,而是整个 AI 智能体行业的普遍认知误区:行业普遍把“审核扫描”当成了核心安全防线,却忽略了真正的安全根基,是运行时的强制隔离与精细化权限管控。这就像苹果 iOS 生态的安全核心,从来不是 App Store 的严格审核,而是系统强制的沙盒机制、精细化的权限管控,让每个 APP 只能在专属的“隔离舱”里运行,无法随意获取系统权限。而 OpenClaw 现有的沙盒机制是可选而非强制的,且高度依赖用户手动配置,绝大多数用户为了保证 Skill 的功能可用性,都会选择关闭沙盒,最终让智能体处于“裸奔”状态,一旦安装了带漏洞或恶意代码的 Skill,就会直接导致灾难性后果。
针对此次发现的问题,CertiK 也给出了安全指引:
● 对 OpenClaw 等 AI 智能体开发者而言,须将沙盒隔离设为第三方 Skill 的默认强制配置,精细化 Skill 的权限管控模型,绝不允许第三方代码默认继承宿主机的高权限。
● 对普通用户而言,Skill 市场里带有“安全”标签的 Skill,仅仅代表它未被检测出风险,不等于绝对安全。在官方将底层的强隔离机制设为默认配置之前,建议把 OpenClaw 部署在不重要的闲置设备或虚拟机中,千万不要让它靠近敏感文件、密码凭证和高价值加密资产。
当前 AI 智能体赛道正处于爆发前夜,生态扩张的速度绝不能跑赢安全建设的脚步。审核扫描只能拦住初级的恶意攻击,却永远成不了高权限智能体的安全边界。唯有从“追求完美检测”转向“默认风险存在的损害遏制”,从运行时底层强制确立隔离边界,才能真正兜住 AI 智能体的安全底线,让这场技术变革行稳致远。
