Lobster Anda berjalan telanjang? Certik fakta: bagaimana OpenClaw Skyll dengan bug ditipu pada komputer tanpa otorisasi

Baru-baru ini, OpenClaw (dikenal sebagai Lobster di Lingkaran) dari hosting AI smart body platform cepat disunting dengan fleksibel, skalable dan otonom fitur penyebaran, menjadi produk fenomenal -class dari pribadi AI smart track tubuh. Inti ekologi, Clawhub, sebagai pasar aplikasi, mengumpulkan tiga puluh pihak, pengaya fungsionalitas Skill yang memungkinkan kecerdasan untuk membuka kunci dari pencarian, konten, untuk kemampuan tingkat tinggi seperti operasi dompet enkripsi, interaksi rantai, otomatisasi sistem, skala lingkungan dan volume pengguna。

Tapi di mana batas aman nyata platform untuk pihak ketiga seperti beroperasi dalam lingkungan yang sangat terbatas

Beberapa hari terakhir, CertiK, perusahaan keamanan Web3 terbesar di dunia, telah merilis update keamanan Skill. Hal ini ditunjukkan bahwa pasar saat ini disalahartikan tentang batas aman dari ekologi cerdas AI: industri umumnya dianggap sebagai "Skill scan" sebagai batas keamanan inti, dan mekanisme hampir tidak ada dalam menghadapi serangan hacker。

Jika Anda membandingkan OpenClaw dengan sistem operasi dengan perangkat cerdas, Skyll adalah jenis APP yang dipasang di dalam sistem. Tidak seperti tingkat konsumen umum APP, beberapa Skylls di OpenClaw beroperasi dalam lingkungan yang sangat terbatas, dengan akses langsung ke dokumen-dokumen lokal, sistem alat, koneksi ke layanan eksternal, implementasi perintah lingkungan host, dan bahkan operasi aset digital terenkripsi pengguna, yang, dalam hal masalah keamanan, akan menyebabkan konsekuensi serius seperti pengungkapan informasi sensitif, pengambilalihan peralatan dan pencurian aset digital。

Resolusi keamanan yang umum untuk Skill melawan pihak ketiga saat ini adalah "audit pra-scan". Clawhub dari OpenClaw juga telah membangun sistem perlindungan audit tiga kali: integrasi pemindaian kode VirusTotal, mesin deteksi kode statis, Pengujian Konsistensi AI Logikal, yang mencoba untuk mempertahankan keamanan ekologi dengan menempatkan tips jendela keselamatan pada pengguna melalui klasifikasi risiko. Namun, Certik 's penelitian dan validasi konseptual tes serangan mengkonfirmasi bahwa sistem deteksi adalah pendek disaring dalam konfrontasi ofensif nyata dan tidak dapat mengasumsikan tanggung jawab utama perlindungan keselamatan。

Studi dimulai dengan membongkar keterbatasan alami dari mekanisme pengujian yang ada:

Aturan deteksi statis mudah dilewati. Inti dari mesin ini bergantung pada karakteristik kode yang cocok untuk mengidentifikasi risiko, seperti kombinasi dari "membaca informasi lingkungan + jaringan eksternal permintaan" untuk dianggap sebagai tindakan beresiko tinggi, tetapi penyerang hanya perlu sedikit tata bahasa menulis ulang kode, sehingga mereka dapat dengan mudah melewati karakteristik, seperti jika konten berbahaya telah digantikan oleh sinonim, yang akan membuat perangkat keamanan benar-benar tidak efektif。

Audits AI ada di zona buta dari tes bawaan. Clawhub 's AI Audit Core Position adalah "pendeteksi konsistensi logis" yang hanya dapat mengekstrak kode berbahaya yang jelas bahwa "menyatakan bahwa fungsi tidak sesuai dengan akting yang sebenarnya", tetapi tidak dapat menangani celah yang tersedia tersembunyi dalam logika bisnis normal, seolah-olah sulit untuk menemukan perangkap mematikan tersembunyi dalam istilah kontrak yang tampaknya compliant。

Lebih fatal lagi, proses audit menderita dari cacat desain bottom-up: bahkan jika hasil pemindaian VirusTotal adalah dalam keadaan "pemindaian", Skill, yang tidak menyelesaikan proses penuh dari "memeriksa", dapat ditempatkan langsung di rak, dan pengguna dapat menyelesaikan instalasi tanpa peringatan, meninggalkan penyerang dengan jendela kesempatan。

Untuk memastikan risiko sebenarnya, tim penelitian Certik menyelesaikan tes penuh. Tim ini mengembangkan Skyll, yang disebut "test-web-searcher", yang tampaknya adalah alat pencarian web yang sepenuhnya compliant, logika kode yang sepenuhnya sejalan dengan norma-norma pengembangan umum, dan celah penegakan kode jauh tertanam dalam aliran kerja yang normal。

Skill melewati mesin statis dan uji audit AI dan mencapai instalasi normal tanpa peringatan keamanan ketika pemindaian VirusTotal masih dalam keadaan pemrosesan; akhirnya, instruksi remote dikirim melalui Telegram, yang berhasil memicu celah dan mencapai eksekusi sewenang-wenang perintah pada peralatan host (sistem kendali langsung memancarkan kalkulator dalam demonstrasi)。

Certik telah membuat jelas dalam penelitiannya bahwa masalah-masalah ini tidak unik bagi bug produk OpenClaw, tetapi merupakan kesalahan kognitif umum di industri tubuh AI cerdas: industri biasanya menggunakan "centang" sebagai garis keamanan inti, sambil mengabaikan yayasan keamanan nyata, yaitu pemisahan wajib dan kontrol presisi selama operasi. Ini seperti inti keamanan iOS ekologi apel, yang tidak pernah audit yang ketat dari App Store, tetapi lebih dari sebuah sistematis dipaksa mekanisme kotak pasir, kontrol halus halus yang memungkinkan setiap APP untuk beroperasi hanya dalam eksklusif "ruang pemisahan" tanpa akses bebas ke sistem. Mekanisme Sandbox yang ada di OpenClaw adalah opsional, bukan wajib, dan sangat tergantung pada konfigurasi manual pengguna, dengan mayoritas pengguna memilih untuk menutup kotak pasir untuk memastikan fungsional yang tersedia dari Skill, akhirnya meninggalkan tubuh pintar dalam keadaan "telanjang", dengan konsekuensi bencana segera ketika sebuah kebocoran atau mematikan dipasang。

Dalam menanggapi penemuan ini, Certik juga memberikan instruksi keamanan:

Sebagai pengembang AI cerdas seperti OpenClaw, kotak pasir harus diisolasi sebagai konfigurasi wajib baku dari partai ketiga Skill, baik berbarengan model kontrol Skill, dan tidak ada kode ketiga yang mesti diijinkan untuk mewarisi hak istimewa dari host。

Ignbsp; & nbsp; & nbsp; & nbsp; untuk pengguna biasa, Skyll dengan label "safe" di pasar Skill hanya berarti bahwa itu belum terdeteksi sebagai resiko dan tidak sama dengan keselamatan mutlak. Menunggu pembentukan resmi dari konfigurasi baku untuk mekanisme isolasi tingkat dasar bawah, disarankan agar OpenClaw ditempatkan dalam perangkat tidak aktif atau mesin virtual tidak terlalu penting, sehingga tidak mendekati dokumen-dokumen sensitif, password dan aset-aset terenkripsi bernilai tinggi。

SAAT INI, JEJAK TUBUH CERDAS AI ADALAH MENJELANG WABAH, DAN KECEPATAN EKSPANSI EKOLOGI TIDAK BOLEH MEMENANGKAN GEDUNG KEAMANAN. PEMINDAIAN AUDIT HANYA BISA MENGHENTIKAN SERANGAN BERBAHAYA AWAL, TAPI TIDAK AKAN PERNAH MENJADI PERBATASAN YANG AMAN UNTUK OTORITAS TINGGI INTELIJEN. HAL INI HANYA DENGAN BERGERAK DARI "MENGEJAR KESEMPURNAAN" KE "PENAHANAN DEFAULT KERUSAKAN" DARI KEHADIRAN RISIKO, DAN DARI BAGIAN BAWAH OPERASIONAL OPERASI, DENGAN MEMAKSAKAN BATAS TERISOLASI BAHWA KECERDASAN AI MEMILIKI AMBANG AMAN NYATA YANG AKAN MEMUNGKINKAN PERUBAHAN TEKNOLOGI INI UNTUK MENGAMBIL ALIH。