Udang lobstermu berlari telanjang? Fakta Certik: bagaimana OpenClaw Skyll dengan bug berselingkuh pada komputernya tanpa otorisasi

Baru-baru ini, OpenClaw (dikenal sebagai Lobsters in the Circle) dari hosting AI smart body platform cepat diredaksi dengan fitur penyebaran fleksibel, scalable dan otonom, menjadi produk kelas fenomena dari pribadi AI smart body track. Inti ekologinya, Clawhub, sebagai pasar aplikasi, menyatukan sebuah partai ketiga besar, pengaya fungsionalitas Skill yang memungkinkan para cerdas untuk membuka kunci dari pencarian web, penciptaan konten, hingga kemampuan tingkat tinggi seperti operasi dompet enkripsi, interaksi rantai, otomatisasi sistem, skala eco dan volume pengguna。

Tetapi, di mana batas aman yang nyata dari platform untuk pihak ketiga yang beroperasi dalam lingkungan yang sangat dibatasi

Belakangan ini, CertiK, perusahaan keamanan Web3 terbesar di dunia, telah merilis pembaruan keamanan Skill. Hal ini ditunjukkan bahwa pasar saat itu salah informasi tentang batas aman dari ekologi cerdas AI ' s: industri umumnya dianggap ØSkill scan" sebagai batas keamanan inti, dan mekanismenya hampir tidak ada dalam menghadapi serangan hacker。

Jika Anda membandingkan OpenClaw dengan sistem operasi dengan perangkat cerdas, Skyll adalah tipe APP yang dipasang di sistem. Tidak seperti APP tingkat konsumen umum, beberapa Skyll di OpenClaw beroperasi di lingkungan yang sangat dibatasi, dengan akses langsung ke dokumen lokal, alat sistem, koneksi ke layanan eksternal, implementasi perintah lingkungan host, dan bahkan pengoperasian aset digital terenkripsi pengguna, yang, dalam hal masalah keamanan, akan mengarah langsung ke konsekuensi serius seperti pengungkapan informasi sensitif, pengambilalihan peralatan dan pencurian aset digital。

Cara keamanan umum untuk Skill melawan pihak ketiga adalah audit pra-scan". Lawhub of OpenClaw juga telah membangun sistem perlindungan audit tiga tingkat: integrasi scan kode VirusTotal, mesin deteksi kode statis, AI Logical Consistency Testing, yang berusaha menjaga keamanan ekologi dengan menempatkan tips jendela keselamatan pada pengguna melalui klasifikasi risiko. Namun, penelitian Certik ' s dan validasi konseptual tes serangan mengkonfirmasi bahwa sistem deteksi adalah pendek-skrin dalam konfrontasi ofensif nyata dan tidak dapat mengasumsikan tanggung jawab inti perlindungan keselamatan。

Penelitian ini dimulai dengan membongkar keterbatasan alami mekanisme pengujian yang ada:

Aturan deteksi statistik mudah dilewati. Inti dari mesin ini bergantung pada pencocokan karakterisasi kode untuk mengidentifikasi risiko, seperti kombinasi dari \"membaca informasi sensitif lingkungan + permintaan jaringan eksternal\" untuk dianggap tindakan berisiko tinggi, tetapi para penyerang hanya membutuhkan sedikit gramatikal penulisan ulang kode, sehingga mereka dapat dengan mudah memotong karakterisasi, seolah-olah konten berbahaya telah digantikan oleh sinonim, yang akan membuat perangkat keamanan benar-benar tidak efektif。

AI Audits ada di zona buta tes bawaan. Kedudukan AI Audit Inti Kesendirian milik Zoda Clawhub adalah \"deteksi konsistensi logis\" yang hanya dapat mengekstrak kode jahat yang jelas bahwa \"negara bahwa fungsi tidak sesuai dengan tindakan yang sebenarnya\", tetapi tidak mampu menangani celah yang tersedia tersembunyi dalam logika bisnis normal, seolah-olah sulit untuk menemukan perangkap mematikan tersembunyi jauh dalam istilah kontrak yang tampaknya sesuai。

Lebih fatal lagi, proses audit menderita cacat desain bawah-up: bahkan jika hasil pemindaian VirusTotal berada dalam keadaan \"mencabut\", Skill, yang tidak menyelesaikan proses penuh \"memeriksa\", dapat ditempatkan langsung di rak, dan pengguna dapat menyelesaikan pemasangan tanpa peringatan, meninggalkan penyerang dengan jendela kesempatan。

Untuk memverifikasi bahaya nyata dari risiko, tim peneliti CertiK menyelesaikan tes penuh. Tim ini mengembangkan sebuah Skyll, yang disebut "test-web-searcher", yang secara pasti merupakan alat pencari web yang sepenuhnya sesuai, logika kode yang sepenuhnya sejalan dengan norma pengembangan umum, dan sebuah celah penegakan kode yang terpencil tertanam dalam alur kerja fungsional normal。

Keterampilan itu melewati mesin statis dan uji audit AI dan mencapai instalasi normal tanpa ada peringatan keamanan ketika pemindaian VirusTotal masih dalam keadaan pemrosesan; akhirnya, instruksi jarak jauh dikirim melalui Telegram, yang berhasil memicu celah dan mencapai eksekusi perintah sewenang-wenang pada peralatan host (sistem kontrol langsung mengeluarkan kalkulator dalam demonstrasi)。

CertiK telah menjelaskan dalam penelitiannya bahwa masalah-masalah ini tidak unik untuk bug produk OpenClaw, tetapi merupakan kesalahan kognitif umum di seluruh industri badan cerdas AI: industri umumnya menggunakan \"pemindaian check-scanning\" sebagai garis keamanan inti, sementara mengabaikan yayasan keamanan yang sebenarnya, yang wajib pemisahan dan pengendalian presisi selama operasi. Ini seperti inti keamanan ekologi iOS apel, yang tidak pernah audit ketat dari App Store, tetapi lebih mekanisme kotak pasir yang dipaksa sistem, kontrol halus yang memungkinkan setiap APP untuk beroperasi hanya dalam \"ruang pemisahan\" eksklusif tanpa akses gratis ke sistem. Mekanisme kotak pasir yang ada oleh OpenClaw adalah opsional, bukan wajib, dan sangat bergantung pada konfigurasi manual pengguna, dengan mayoritas pengguna memilih untuk menutup kotak pasir untuk memastikan ketersediaan fungsional Skill, akhirnya meninggalkan tubuh cerdas dalam keadaan \"berlari telanjang\", dengan konsekuensi bencana segera ketika bocor atau berniat jahat Skill dipasang。

Sebagai tanggapan atas penemuan ini, CertiK juga memberikan instruksi keamanan:

Ínbsp;         Untuk pengembang cerdas AI seperti OpenClaw, kotak pasir harus diisolasi sebagai konfigurasi wajib baku dari Skill pihak ketiga, model kontrol izin Skill bergaris halus, dan tidak ada kode pihak ketiga harus diizinkan secara implisit untuk mewarisi hak istimewa tinggi tuan rumah。

Ínbsp;         untuk pengguna biasa, Skyll dengan label \"aman\" di pasar Skill hanya berarti bahwa itu belum terdeteksi sebagai risiko dan tidak setara dengan keselamatan mutlak. Wading resmi pendirian konfigurasi baku untuk mekanisme isolasi tingkat bawah, disarankan OpenClaw dikerahkan dalam perangkat tidak aktif atau mesin virtual yang sedikit penting, sehingga tidak mendekati dokumen sensitif, sandi dan aset terenkripsi bernilai tinggi。

SAAT INI, AI'S SMART BODY TRACK ADALAH PADA MALAM WABAH, DAN LANGKAH EKSPANSI EKOLOGI TIDAK HARUS MEMENANGKAN GEDUNG KEAMANAN. PEMINDAIAN AUDIT HANYA BISA MENGHENTIKAN SERANGAN AWAL, TAPI TIDAK AKAN PERNAH MENJADI PERBATASAN YANG AMAN UNTUK INTELIJEN OTORITAS TINGGI. INI ADALAH HANYA DENGAN BERGERAK DARI \"KEMURNIAN KESEMPURNAAN\" KE \"PENAHANAN KERUSAKAN DEFAULT\" DARI KEBERADAAN RISIKO, DAN DARI OPERASIONAL DASAR OPERASI, DENGAN MEMAKSAKAN BATAS TERISOLASI BAHWA KECERDASAN AI MEMILIKI AMBANG KESELAMATAN YANG NYATA YANG AKAN MEMUNGKINKAN PERUBAHAN TEKNOLOGI INI BERTAHAN。