Raport firmy Certik wskazuje na poważne luki w zabezpieczeniach Openclaw, platformy AI typu open source, a zwłaszcza na jej uzależnienie od funkcji „skanowania umiejętności”, która nie zapewnia użytkownikom odpowiedniej ochrony przed złośliwymi rozszerzeniami stron trzecich.
Badacze z firmy Certik ostrzegają: funkcje Openclaw AI są podatne na złośliwe ataki
NAPISAŁ
UDOSTĘPNIJ
Ograniczenia procesu moderacji Clawhub
Raport firmy Certik zajmującej się cyberbezpieczeństwem ujawnił poważne luki w zabezpieczeniach OpenClaw, platformy agenta sztucznej inteligencji typu open source, ostrzegając, że jej poleganie na „skanowaniu umiejętności” jest niewystarczające, aby chronić użytkowników przed złośliwymi rozszerzeniami stron trzecich.
Wyniki badania, opublikowane 16 marca 2026 r., sugerują, że model bezpieczeństwa platformy opiera się w zbyt dużym stopniu na wykrywaniu i ostrzeganiu, a nie na solidnej izolacji środowiska uruchomieniowego, co naraża użytkowników na zagrożenia na poziomie hosta.
Według raportu, Clawhub, rynek OpenClaw, wykorzystuje obecnie wielowarstwowy proces moderacji do weryfikacji „umiejętności” — aplikacji stron trzecich, które zapewniają agentowi AI funkcje takie jak automatyzacja systemu lub operacje związane z portfelem kryptowalutowym. Proces ten obejmuje Virustotal do skanowania znanego złośliwego oprogramowania oraz Static Moderation Engine, narzędzie wprowadzone 8 marca 2026 r. w celu oznaczania podejrzanych wzorców kodu. Obejmuje on również to, co w raporcie nazwano „detektorem niespójności”, zaprojektowanym w celu wykrywania rozbieżności między deklarowanym celem umiejętności a jej rzeczywistym zachowaniem.
Jednak badacze z Certik stwierdzili, że statyczne reguły wyszukujące „sygnały ostrzegawcze” zostały obejście za pomocą prostego przepisywania kodu. Twierdzili również, że warstwa weryfikacji AI okazała się skuteczna w wykrywaniu oczywistych zamiarów, ale miała trudności z identyfikacją podatności, które można wykorzystać, ukrytych w kodzie wyglądającym na wiarygodny.
Luka „oczekująca”
Jedną z najbardziej krytycznych wad zidentyfikowanych przez Certik jest sposób traktowania oczekujących wyników skanowania. Badacze odkryli, że funkcja mogła pozostawać aktywna i dostępna do instalacji w sklepie, nawet gdy wyniki Virustotal były nadal w toku — proces ten może trwać godziny lub dni. W praktyce te oczekujące funkcje były traktowane jako nieszkodliwe, co pozwalało na ich instalację bez ostrzegania użytkownika.
Aby udowodnić istnienie luki, badacze z Certik stworzyli skill typu proof-of-concept (PoC) o nazwie „test-web-searcher”. Skill wydawał się funkcjonalny i nieszkodliwy, ale zawierał ukryty błąd „w kształcie luki”, który pozwalał na wykonanie dowolnego polecenia na komputerze hosta. Po wywołaniu przez Telegram skill z powodzeniem ominął opcjonalną piaskownicę Openclaw i „uruchomił kalkulator” na komputerze badacza — klasyczna demonstracja pełnego przejęcia kontroli nad systemem.
Autonomiczna AI: Bot Openclaw Tworzy 'Dziecko' Agenta i Finansuje Je Bitcoinem
Dowiedz się o innowacyjnym agencie Openclaw, który autonomicznie kupuje infrastrukturę za pomocą bitcoina, bez ingerencji człowieka. read more.
Czytaj teraz
Autonomiczna AI: Bot Openclaw Tworzy 'Dziecko' Agenta i Finansuje Je Bitcoinem
Dowiedz się o innowacyjnym agencie Openclaw, który autonomicznie kupuje infrastrukturę za pomocą bitcoina, bez ingerencji człowieka. read more.
Czytaj terazAutonomiczna AI: Bot Openclaw Tworzy 'Dziecko' Agenta i Finansuje Je Bitcoinem
Czytaj terazDowiedz się o innowacyjnym agencie Openclaw, który autonomicznie kupuje infrastrukturę za pomocą bitcoina, bez ingerencji człowieka. read more.
Raport stwierdza, że wykrywanie nigdy nie może zastąpić prawdziwej granicy bezpieczeństwa. Certik wzywa programistów Openclaw do domyślnego uruchamiania umiejętności stron trzecich w izolowanych środowiskach, zamiast polegać na opcjonalnej konfiguracji użytkownika. Programiści powinni również wdrożyć model, w którym umiejętności muszą z góry deklarować konkretne potrzeby w zakresie zasobów, podobnie jak w nowoczesnych mobilnych systemach operacyjnych.
Użytkownikom firma Certik skierowała surowe ostrzeżenie: etykieta „benign” (nieszkodliwy) na Clawhub nie jest dowodem bezpieczeństwa. Dopóki domyślnym ustawieniem nie będzie silniejsza izolacja, platforma powinna być używana wyłącznie w środowiskach o niskiej wartości, z dala od poufnych danych uwierzytelniających lub zasobów.
FAQ ❓
- Jakie zagrożenie bezpieczeństwa wykryła firma Certik w Openclaw? Certik poinformowała, że poleganie Openclaw na „skanowaniu umiejętności” nie zapewnia użytkownikom odpowiedniej ochrony przed złośliwymi rozszerzeniami stron trzecich.
- Jak działa proces moderacji w Openclaw? Openclaw stosuje wielopoziomowy proces moderacji, obejmujący narzędzia takie jak Virustotal i wykrywacz niespójności, w celu weryfikacji „umiejętności” stron trzecich.
- Na czym polega krytyczna wada związana z oczekującymi wynikami skanowania? Umiejętności mogą pozostawać aktywne i dostępne do instalacji, podczas gdy wyniki skanowania są w toku, co stanowi ryzyko, ponieważ użytkownicy mogą nieświadomie zainstalować złośliwe rozszerzenia.
- Co powinni zrobić użytkownicy, aby chronić swoje dane w Openclaw? Zaleca się, aby użytkownicy korzystali z Openclaw wyłącznie w środowiskach o niskiej wartości, dopóki programiści nie wdrożą silniejszych środków izolacji.
