Výzkumníci z Certiku varují: Funkce Openclaw AI jsou zranitelné vůči škodlivým útokům

Omezení moderovacího procesu Clawhub

Zpráva společnosti Certik zabývající se kyberbezpečností odhalila významné bezpečnostní mezery v OpenClaw, open-source platformě pro agenty umělé inteligence, a varovala, že její spoléhání se na „skenování dovedností“ nestačí k ochraně uživatelů před škodlivými rozšířeními třetích stran.

Zjištění, zveřejněná 16. března 2026, naznačují, že bezpečnostní model platformy se příliš spoléhá na detekci a varování namísto robustní izolace běhu, což vystavuje uživatele riziku ohrožení na úrovni hostitele.

Podle zprávy využívá tržiště Openclaw, Clawhub, v současné době vrstvený moderovací tok k prověřování „skillů“ – aplikací třetích stran, které poskytují agentům umělé inteligence funkce, jako je automatizace systému nebo operace s kryptoměnovými peněženkami. Tento proces zahrnuje Virustotal pro skenování známého malwaru a Static Moderation Engine, nástroj představený 8. března 2026, který označuje podezřelé vzorce kódu. Zahrnuje také to, co zpráva nazývá „detektorem nesouladu“, který je navržen tak, aby odhaloval nesoulady mezi deklarovaným účelem dovednosti a jejím skutečným chováním.

Výzkumníci z Certiku však uvedli, že statická pravidla hledající „červené vlajky“ byla obcházena pomocí jednoduchého přepisování kódu. Rovněž tvrdili, že vrstva AI kontroly se osvědčila při odhalování zjevných záměrů, ale měla potíže s identifikací zneužitelných zranitelností skrytých v jinak věrohodně vypadajícím kódu.

Mezeru v „čekajících“ výsledcích

Jednou z nejzávažnějších chyb identifikovaných společností Certik je zacházení s čekajícími výsledky skenování. Výzkumníci zjistili, že dovednost mohla zůstat aktivní a instalovatelná na tržišti, i když výsledky Virustotal stále čekaly na zpracování – což je proces, který může trvat hodiny nebo dny. V praxi byly tyto čekající dovednosti považovány za neškodné, což umožňovalo jejich instalaci bez varování uživatele.

Aby tuto zranitelnost prokázali, vytvořili výzkumníci společnosti Certik dovednost typu proof-of-concept (PoC) s názvem „test-web-searcher“. Skill vypadal funkčně a neškodně, ale obsahoval skrytou chybu „ve tvaru zranitelnosti“, která umožňovala libovolné spuštění příkazů na hostitelském počítači. Po spuštění přes Telegram skill úspěšně obešel volitelný sandbox Openclaw a „spustil kalkulačku“ na počítači výzkumníka – klasická ukázka úplného kompromitování systému.

Zpráva dochází k závěru, že detekce nikdy nemůže nahradit skutečnou bezpečnostní hranici. Certik naléhavě žádá vývojáře Openclaw, aby dovednosti třetích stran spouštěli ve výchozím nastavení v izolovaných prostředích, namísto spoléhání se na volitelnou konfiguraci uživatelem. Vývojáři by také měli implementovat model, ve kterém musí dovednosti předem deklarovat konkrétní potřeby zdrojů, podobně jako v moderních mobilních operačních systémech.

Pro uživatele Certik vydal varovné upozornění: označení „benign“ na Clawhubu není důkazem bezpečnosti. Dokud nebude silnější izolace nastavená jako výchozí, měla by se platforma používat pouze v prostředí s nízkou hodnotou, daleko od citlivých přihlašovacích údajů nebo aktiv.

Často kladené otázky ❓

• Jaký bezpečnostní problém Certik v Openclaw zjistil? Certik uvedl, že spoléhání se Openclaw na „skenování dovedností“ nedokáže uživatele dostatečně chránit před škodlivými rozšířeními třetích stran.
• Jak funguje proces moderace v Openclaw? Openclaw používá víceúrovňový proces moderace, včetně nástrojů jako Virustotal a detektoru nesrovnalostí, k prověřování „skillů“ třetích stran.
• V čem spočívá kritická chyba týkající se čekajících výsledků skenování? Funkce mohou zůstat aktivní a instalovatelné, zatímco výsledky skenování čekají na zpracování, což představuje riziko, protože uživatelé mohou nevědomky nainstalovat škodlivá rozšíření.
• Co by měli uživatelé udělat, aby ochránili svá data na Openclaw? Uživatelům se doporučuje používat Openclaw pouze v prostředí s nízkou hodnotou, dokud vývojáři nezavedou silnější izolační opatření.