Raziskovalci iz podjetja Certik opozarjajo, da so AI-spretnosti Openclaw dovzetne za zlonamerne izkoriščevalne napade

Omejitve moderacijskega procesa Clawhub

Poročilo podjetja za kibernetsko varnost Certik je razkrilo pomembne varnostne vrzeli v OpenClaw, odprtokodni platformi za umetno inteligenco, in opozorilo, da njena odvisnost od »skeniranja veščin« ni zadostna za zaščito uporabnikov pred zlonamernimi razširitvami tretjih oseb.

Ugotovitve, objavljene 16. marca 2026, kažejo, da se varnostni model platforme preveč opira na odkrivanje in opozorila namesto na robustno izolacijo v času izvajanja, kar uporabnike izpostavlja tveganju za ogrožanje na ravni gostitelja.

Glede na poročilo tržnica OpenClaw, Clawhub, trenutno uporablja večplastni moderacijski tok za pregled »spretnosti« – aplikacij tretjih oseb, ki agentu umetne inteligence omogočajo zmožnosti, kot so avtomatizacija sistema ali operacije z denarnico za kriptovalute. Ta proces vključuje Virustotal za skeniranje znane zlonamerne programske opreme in Static Moderation Engine, orodje, uvedeno 8. marca 2026, za označevanje sumljivih vzorcev kode. Vključuje tudi tisto, kar poročilo imenuje »detektor neskladij«, zasnovan za odkrivanje neskladij med navedenim namenom spretnosti in njenim dejanskim delovanjem.

Vendar pa so raziskovalci Certika dejali, da so bila statična pravila za iskanje »rdečih zastav« zaobidena s preprostim prepisovanjem kode. Trdili so tudi, da se je plast pregleda AI izkazala za učinkovito pri odkrivanju očitnih namer, vendar je imela težave pri prepoznavanju izkoriščljivih ranljivosti, skritih v sicer verjetno izgledajoči kodi.

Vrzeli v stanju »v obravnavi«

Ena najbolj kritičnih pomanjkljivosti, ki jih je ugotovil Certik, je obravnava rezultatov skeniranja v čakanju. Raziskovalci so ugotovili, da lahko spretnost ostane aktivna in namestljiva na tržnici, tudi če so rezultati Virustotal še v čakanju – proces, ki lahko traja ure ali dneve. V praksi so bile te spretnosti v čakanju obravnavane kot neškodljive, kar je omogočalo njihovo namestitev brez opozorila uporabniku.

Da bi dokazali ranljivost, so raziskovalci Certika ustvarili spretnost za dokaz koncepta (PoC) z imenom »test-web-searcher«. Sposobnost je delovala in se je zdela neškodljiva, vendar je vsebovala skrito napako v obliki »ranljivosti«, ki je omogočala izvajanje poljubnih ukazov na gostiteljskem računalniku. Ko je bila sprožena prek Telegrama, je sposobnost uspešno obšla izbirno peskovnico Openclaw in »odprla kalkulator« na računalniku raziskovalca – klasična demonstracija popolnega ogrožanja sistema.

Poročilo zaključuje, da odkrivanje nikoli ne more nadomestiti prave varnostne meje. Certik poziva razvijalce Openclawa, naj spretnosti tretjih oseb privzeto izvajajo v izoliranih okoljih, namesto da se zanašajo na izbirno konfiguracijo uporabnika. Razvijalci bi morali tudi uvesti model, v katerem morajo spretnosti vnaprej navesti konkretne potrebe po virih, podobno kot pri sodobnih mobilnih operacijskih sistemih.

Certik je uporabnikom izrekel strogo opozorilo: oznaka »benign« na Clawhubu ni dokaz varnosti. Dokler močnejša izolacija ne bo privzeta nastavitev, naj se platforma uporablja le v okoljih z nizko vrednostjo, stran od občutljivih poverilnic ali sredstev.

Pogosta vprašanja ❓

• Kakšno varnostno težavo je Certik odkril v Openclaw? Certik je poročal, da Openclawovo zanašanje na »skeniranje veščin« ne zagotavlja ustrezne zaščite uporabnikov pred zlonamernimi razširitvami tretjih oseb.
• Kako deluje moderacijski tok Openclawa? Openclaw uporablja večplastni moderacijski tok, vključno z orodji, kot sta Virustotal in detektor neskladij, za pregled »spretnosti« tretjih oseb.
• Kaj je kritična pomanjkljivost v zvezi z rezultati skeniranja, ki so v postopku? Spretnosti lahko ostanejo aktivne in jih je mogoče namestiti, medtem ko so rezultati skeniranja v postopku, kar predstavlja tveganje, saj lahko uporabniki nevede namestijo zlonamerne razširitve.
• Kaj naj storijo uporabniki, da zaščitijo svoje podatke na Openclawu? Uporabnikom se svetuje, naj Openclaw uporabljajo le v okoljih z nizko vrednostjo, dokler razvijalci ne uvedejo močnejših ukrepov za izolacijo.