你的“小龙虾”正在裸奔？CertiK实测：带漏洞的OpenClaw Skill如何骗过审核，无授权接管电脑

近期，开源自托管 AI 智能体平台 OpenClaw（圈内俗称“小龙虾”）凭借灵活的可扩展性、自主可控的部署特性迅速走红，成为个人 AI 智能体赛道的现象级产品。其生态核心 Clawhub 作为应用市场，汇聚了海量第三方 Skill 功能插件，能让智能体一键解锁从网页搜索、内容创作，到加密钱包操作、链上交互、系统自动化等高阶能力，生态规模与用户量迎来爆发式增长。

但对于这类运行在高权限环境中的第三方 Skill，平台真正的安全边界到底在哪里？

近日，全球最大的 Web3 安全公司 CertiK，发布了针对 Skill 安全的最新研究。文中指出，当前市场对 AI 智能体生态的安全边界存在认知错位：行业普遍将“Skill 扫描”当作核心安全边界，而这套机制在黑客攻击面前几乎形同虚设。

如果把 OpenClaw 比作一台智能设备的操作系统，Skill 就是安装在系统里的各类 APP。与普通消费级 APP 不同，OpenClaw 中的一些 Skill 运行在高权限环境中，可直接访问本地文件、调用系统工具、连接外部服务、执行宿主环境命令，甚至操作用户的加密数字资产，一旦出现安全问题，将直接导致敏感信息泄露、设备被远程接管、数字资产被盗等严重后果。

目前整个行业针对第三方 Skill 的通用安全解决方案，是“上架前扫描审核”。OpenClaw 的 Clawhub 也搭建了一套三层审核防护体系：融合 VirusTotal 代码扫描、静态代码检测引擎、AI 逻辑一致性检测，通过风险分级给用户推送安全弹窗提示，试图以此守住生态安全。但 CertiK 的研究与概念验证攻击测试证实，这套检测体系在真实的攻防对抗中存在短板，无法承担起安全防护的核心重任。

研究首先拆解了现有检测机制的天然局限性：

静态检测规则极易被绕过。这套引擎核心靠匹配代码特征识别风险，比如将“读取环境敏感信息 + 外发网络请求”的组合判定为高危行为，但攻击者只需对代码做轻微的语法改写，在完全保留恶意逻辑的前提下，就能轻松绕过特征匹配，如同给危险内容换了一套同义表述，就让安检仪彻底失效。

AI 审核存在先天检测盲区。Clawhub 的 AI 审核核心定位是“逻辑一致性检测器”，只能揪出“声明功能与实际行为不符”的明显恶意代码，却对隐藏在正常业务逻辑里的可利用漏洞束手无策，就像很难从一份看似合规的合同里，发现藏在条款深处的致命陷阱。

更致命的是，审核流程存在底层设计缺陷：即便 VirusTotal 的扫描结果还处于“待处理”状态，未完成全流程“体检”的 Skill 也能直接上架公开，用户可在无警告的情况下完成安装，给攻击者留下了可乘之机。

为了验证风险的真实危害性，CertiK 研究团队完成了完整的测试。团队开发了一款名为“test-web-searcher”的 Skill，表面上是完全合规的网页搜索工具，代码逻辑完全符合常规开发规范，实则在正常功能流程中植入了远程代码执行漏洞。

该 Skill 绕过了静态引擎与 AI 审核的检测，在 VirusTotal 扫描仍为待处理状态时，就实现了无任何安全警告的正常安装；最终通过 Telegram 远程发了一句指令，就成功触发漏洞，在宿主设备上实现了任意命令执行（演示中直接控制系统弹出了计算器）。

CertiK 在研究中明确指出，这些问题并非 OpenClaw 独有的产品 bug，而是整个 AI 智能体行业的普遍认知误区：行业普遍把“审核扫描”当成了核心安全防线，却忽略了真正的安全根基，是运行时的强制隔离与精细化权限管控。这就像苹果 iOS 生态的安全核心，从来不是 App Store 的严格审核，而是系统强制的沙盒机制、精细化的权限管控，让每个 APP 只能在专属的“隔离舱”里运行，无法随意获取系统权限。而 OpenClaw 现有的沙盒机制是可选而非强制的，且高度依赖用户手动配置，绝大多数用户为了保证 Skill 的功能可用性，都会选择关闭沙盒，最终让智能体处于“裸奔”状态，一旦安装了带漏洞或恶意代码的 Skill，就会直接导致灾难性后果。

针对此次发现的问题，CertiK 也给出了安全指引：

●    对 OpenClaw 等 AI 智能体开发者而言，须将沙盒隔离设为第三方 Skill 的默认强制配置，精细化 Skill 的权限管控模型，绝不允许第三方代码默认继承宿主机的高权限。

●    对普通用户而言，Skill 市场里带有“安全”标签的 Skill，仅仅代表它未被检测出风险，不等于绝对安全。在官方将底层的强隔离机制设为默认配置之前，建议把 OpenClaw 部署在不重要的闲置设备或虚拟机中，千万不要让它靠近敏感文件、密码凭证和高价值加密资产。

当前 AI 智能体赛道正处于爆发前夜，生态扩张的速度绝不能跑赢安全建设的脚步。审核扫描只能拦住初级的恶意攻击，却永远成不了高权限智能体的安全边界。唯有从“追求完美检测”转向“默认风险存在的损害遏制”，从运行时底层强制确立隔离边界，才能真正兜住 AI 智能体的安全底线，让这场技术变革行稳致远。