Certiki teadlased hoiatavad, et Openclaw AI-funktsioonid on haavatavad pahatahtlikele rünnakutele

Clawhubi modereerimispipeliini piirangud

Küberjulgeolekufirma Certik raport on toonud esile olulised turvaprobleemid avatud lähtekoodiga tehisintellekti platvormis OpenClaw, hoiatades, et selle tuginemine „oskuste skannimisele” ei ole piisav, et kaitsta kasutajaid pahatahtlike kolmandate osapoolte laienduste eest.

16. märtsil 2026 avaldatud järeldused viitavad sellele, et platvormi turvalisusmudel sõltub liiga palju avastamisest ja hoiatustest, mitte tugevast käitamisaja isolatsioonist, jättes kasutajad haavatavaks host-tasandi rünnakutele.

Aruande kohaselt kasutab OpenClaw turuplats Clawhub praegu mitmekihilist modereerimisprotsessi „oskuste” – kolmandate osapoolte rakenduste, mis annavad tehisintellekti agendile selliseid võimeid nagu süsteemi automatiseerimine või krüptovaluuta rahakoti operatsioonid – läbivaatamiseks. See protsess hõlmab Virustotali tuntud pahavara skannimiseks ja Static Moderation Engine’i, 8. märtsil 2026. aastal kasutusele võetud tööriista kahtlaste koodimustrite märkimiseks. See hõlmab ka raportis nimetatud „ebajärjekindluse detektorit”, mis on loodud tuvastama lahknevusi oskuse deklareeritud eesmärgi ja selle tegeliku käitumise vahel.

Certiku teadlased väitsid aga, et „punaseid lippe” otsivaid staatilisi reegleid oli võimalik lihtsa koodi ümberkirjutamisega mööda hiilida. Nad kinnitasid ka, et AI-kontrollikiht osutus tõhusaks ilmsete kavatsuste tuvastamisel, kuid tal oli raskusi muidu usutava välimusega koodi sisse peidetud ärakasutatavate haavatavuste tuvastamisel.

„Ootel” olev lünk

Üks kriitilisemaid puudusi, mille Certik tuvastas, on ootel olevate skannimistulemuste käsitlemine. Teadlased leidsid, et oskus võis jääda turul aktiivseks ja installitavaks isegi siis, kui Virustotali tulemused olid veel ootel – protsess, mis võib kesta tunde või päevi. Praktikas käsitleti neid ootel olevaid oskusi ohututena, võimaldades neid installida ilma kasutajat hoiatamata.

Selle haavatavuse tõestamiseks lõid Certiku teadlased kontsepti tõestava (PoC) oskuse nimega „test-web-searcher”. Skill näis toimiv ja ohutu, kuid sisaldas peidetud „haavatavusekujulist” viga, mis võimaldas host-masinal suvalisi käske täita. Telegrammi kaudu käivitamisel möödus skill edukalt Openclaw’i valikulise sandboxingust ja „avab kalkulaatori” teadlase masinal – klassikaline näide süsteemi täielikust kompromiteerimisest.

Aruandes jõutakse järeldusele, et avastamine ei saa kunagi asendada tõelist turvapiiri. Certik soovitab Openclaw arendajatel käivitada kolmandate osapoolte oskusi vaikimisi isoleeritud keskkondades, selle asemel et tugineda valikulisele kasutaja konfiguratsioonile. Arendajad peaksid rakendama ka mudelit, kus oskused peavad eelnevalt deklareerima konkreetsed ressursivajadused, sarnaselt kaasaegsete mobiilsete operatsioonisüsteemidega.

Kasutajatele esitas Certik karmi hoiatuse: „benign” märge Clawhubis ei ole turvalisuse tõend. Kuni tugevam isolatsioon ei ole vaikimisi sisse lülitatud, tuleks platvormi kasutada ainult madala väärtusega keskkondades, eemal tundlikest kasutajatunnustest või varadest.

KKK ❓

• Millise turvaprobleemi leidis Certik Openclaw'is? Certik teatas, et Openclaw'i tuginemine „oskuste skaneerimisele” ei kaitse kasutajaid piisavalt pahatahtlike kolmandate osapoolte laienduste eest.
• Kuidas toimib Openclaw'i modereerimisprotsess? Openclaw kasutab mitmekihilist modereerimisprotsessi, mis hõlmab selliseid tööriistu nagu Virustotal ja ebakõla detektor, et kontrollida kolmandate osapoolte „oskusi”.
• Milline on kriitiline puudus seoses ootavate skannimistulemustega? Oskused võivad jääda aktiivseks ja installitavaks, kuni skannimistulemused on ootel, mis kujutab endast ohtu, kuna kasutajad võivad teadmatult installida pahatahtlikke laiendusi.
• Mida peaksid kasutajad tegema, et kaitsta oma andmeid Openclaw's? Kasutajatele soovitatakse kasutada Openclaw'd ainult madala väärtusega keskkondades, kuni arendajad rakendavad tugevamaid isoleerimismeetmeid.