Openclaw AI-ferdigheter sårbare for ondsinnede utnyttelser, advarer Certik-forskere

Begrensninger i Clawhub-modereringspipen

En rapport fra cybersikkerhetsselskapet Certik har avdekket betydelige sikkerhetshull i OpenClaw, en åpen kildekode-plattform for agenter med kunstig intelligens, og advarer om at plattformens avhengighet av «skill scanning» er utilstrekkelig for å beskytte brukere mot ondsinnede tredjepartsutvidelser.

Funnene, publisert 16. mars 2026, tyder på at plattformens sikkerhetsmodell i for stor grad baserer seg på deteksjon og advarsler fremfor robust isolasjon under kjøring, noe som gjør brukere sårbare for kompromittering på verts-/systemnivå.

Ifølge rapporten bruker Openclaws markedsplass, Clawhub, for tiden en lagdelt modereringsflyt for å gjennomgå «skills»—tredjepartsapplikasjoner som gir AI-agenten funksjoner som systemautomatisering eller operasjoner med kryptovaluta-lommebok. Denne pipelinen inkluderer Virustotal for skanning etter kjent skadevare og Static Moderation Engine, et verktøy introdusert 8. mars 2026 for å flagge mistenkelige kode-mønstre. Den inkluderer også det rapporten omtalte som en «inkohærensdetektor», utformet for å oppdage avvik mellom en skills oppgitte formål og dens faktiske atferd.

Certik-forskerne sa imidlertid at statiske regler som leter etter «røde flagg» ble omgått ved enkel omskriving av kode. De hevdet også at AI-gjennomgangslaget viste seg effektivt til å fange opp åpenbar hensikt, men slet med å identifisere utnyttbare sårbarheter skjult i ellers troverdig kode.

«Pending»-gapet

En av de mest kritiske feilene Certik identifiserte, gjelder håndteringen av ventende skanneresultater. Forskerne fant at en skill kunne forbli aktiv og installerbar på markedsplassen selv mens Virustotal-resultatene fortsatt var ventende—en prosess som kan ta timer eller dager. I praksis ble disse ventende skillene behandlet som godartede, noe som gjorde at de kunne installeres uten en advarsel til brukeren.

For å bevise sårbarheten laget Certik-forskere en proof-of-concept (PoC)-skill kalt «test-web-searcher». Skillen fremsto funksjonell og harmløs, men inneholdt en skjult «sårbarhetsformet» feil som muliggjorde vilkårlig kommandoeksekvering på vertsmaskinen. Når den ble aktivert via Telegram, omgåtte skillen Openclaws valgfrie sandkassing og «poppet opp en kalkulator» på forskerens maskin—en klassisk demonstrasjon av full systemkompromittering.

Rapporten konkluderer med at deteksjon aldri kan erstatte en reell sikkerhetsgrense. Certik oppfordrer Openclaw-utviklere til å kjøre tredjeparts-skills i isolerte miljøer som standard, i stedet for å basere seg på valgfri brukerkonfigurasjon. Utviklere bør også implementere en modell der skills må deklarere spesifikke ressursbehov på forhånd, tilsvarende moderne mobile operativsystemer.

For brukere kom Certik med en tydelig advarsel: En «godartet»-merking på Clawhub er ikke bevis på sikkerhet. Inntil sterkere isolasjon er standard, bør plattformen bare brukes i lavverdi-miljøer, borte fra sensitive legitimasjoner eller verdier.

FAQ ❓

• Hvilket sikkerhetsproblem fant Certik i Openclaw? Certik rapporterte at Openclaws avhengighet av «skill scanning» ikke i tilstrekkelig grad beskytter brukere mot ondsinnede tredjepartsutvidelser.
• Hvordan fungerer Openclaws modereringsflyt? Openclaw bruker en lagdelt modereringsflyt, inkludert verktøy som Virustotal og en inkohærensdetektor, for å gjennomgå tredjeparts-«skills».
• Hva er den kritiske feilen knyttet til ventende skanneresultater? Skills kan forbli aktive og installerbare mens skanneresultater er ventende, noe som utgjør en risiko fordi brukere uvitende kan installere ondsinnede utvidelser.
• Hva bør brukere gjøre for å beskytte dataene sine på Openclaw? Brukere rådes til kun å bruke Openclaw i lavverdi-miljøer inntil utviklere har implementert sterkere isolasjonstiltak.