Openclaw AI Skills er sårbare over for ondsindede angreb, advarer forskere fra Certik

Begrænsninger ved Clawhub Moderation Pipeline

En rapport fra cybersikkerhedsfirmaet Certik har afsløret væsentlige sikkerhedshuller i OpenClaw, en open source-platform for kunstig intelligens, og advarer om, at dens afhængighed af "skill scanning" er utilstrækkelig til at beskytte brugerne mod ondsindede tredjepartsudvidelser.

Resultaterne, der blev offentliggjort den 16. marts 2026, tyder på, at platformens sikkerhedsmodel er for afhængig af detektion og advarsler frem for robust runtime-isolering, hvilket efterlader brugerne sårbare over for kompromittering på værtsniveau.

Ifølge rapporten bruger Openclaws markedsplads, Clawhub, i øjeblikket et lagdelt moderationsforløb til at gennemgå "skills" – tredjepartsapplikationer, der giver AI-agenten funktioner såsom systemautomatisering eller kryptovaluta-wallet-operationer. Denne pipeline inkluderer Virustotal til scanning af kendt malware og Static Moderation Engine, et værktøj introduceret den 8. marts 2026, til at markere mistænkelige kodemønstre. Den omfatter også det, rapporten kalder en "inkohærensdetektor", der er designet til at opdage uoverensstemmelser mellem en skills angivne formål og dens faktiske adfærd.

Certiks forskere sagde imidlertid, at statiske regler, der søger efter "røde flag", blev omgået ved hjælp af simpel omskrivning af kode. De hævdede også, at AI-gennemgangslaget viste sig effektivt til at opdage åbenlyse hensigter, men havde svært ved at identificere sårbarheder, der kunne udnyttes, og som var skjult i kode, der ellers så plausibel ud.

Det "ventende" hul

En af de mest kritiske fejl, som Certik har identificeret, er håndteringen af ventende scanningsresultater. Forskerne fandt ud af, at en skill kunne forblive aktiv og kunne installeres på markedspladsen, selv mens Virustotal-resultaterne stadig var ventende – en proces, der kan tage timer eller dage. I praksis blev disse ventende skills behandlet som harmløse, hvilket gjorde det muligt at installere dem uden en advarsel til brugeren.

For at bevise sårbarheden skabte Certiks forskere en proof-of-concept (PoC)-skill kaldet "test-web-searcher". Skillen virkede funktionel og harmløs, men indeholdt en skjult "sårbarhedsformet" fejl, der muliggjorde vilkårlig kommandokørsel på værtsmaskinen. Når den blev kaldt via Telegram, omgik skillen med succes Openclaws valgfri sandboxing og "åbnede en lommeregner" på forskerens maskine – en klassisk demonstration af fuld systemkompromittering.

Rapporten konkluderer, at detektion aldrig kan erstatte en reel sikkerhedsgrænse. Certik opfordrer Openclaw-udviklere til som standard at køre tredjeparts-skills i isolerede miljøer i stedet for at stole på valgfri brugerkonfiguration. Udviklere bør også implementere en model, hvor skills på forhånd skal angive specifikke ressourcebehov, svarende til moderne mobile operativsystemer.

Certik kom med en skarp advarsel til brugerne: En "godartet" mærkning på Clawhub er ikke et bevis på sikkerhed. Indtil stærkere isolation er standard, bør platformen kun bruges i miljøer med lav værdi, væk fra følsomme legitimationsoplysninger eller aktiver.

FAQ ❓

• Hvilket sikkerhedsproblem fandt Certik i Openclaw? Certik rapporterede, at Openclaws afhængighed af "skill-scanning" ikke beskytter brugerne tilstrækkeligt mod ondsindede tredjepartsudvidelser.
• Hvordan fungerer Openclaws moderationsflow? Openclaw bruger et lagdelt moderationsflow, der inkluderer værktøjer som Virustotal og en inkoherensdetektor til at gennemgå tredjeparts-"skills".
• Hvad er den kritiske fejl vedrørende ventende scanningsresultater? Skills kan forblive aktive og installerbare, mens scanningsresultaterne er ventende, hvilket udgør en risiko, da brugere ubevidst kan installere ondsindede udvidelser.
• Hvad bør brugerne gøre for at beskytte deres data på Openclaw? Brugere rådes til kun at bruge Openclaw i miljøer med lav værdi, indtil udviklerne har implementeret stærkere isolationsforanstaltninger.