Openclaw AI:s funktioner är sårbara för skadliga angrepp, varnar forskare vid Certik

Begränsningar i Clawhubs modereringspipeline

En rapport från cybersäkerhetsföretaget Certik har avslöjat betydande säkerhetsbrister i OpenClaw, en öppen källkodsplattform för artificiell intelligens, och varnar för att dess beroende av ”skill scanning” är otillräckligt för att skydda användare från skadliga tillägg från tredje part.

Resultaten, som publicerades den 16 mars 2026, tyder på att plattformens säkerhetsmodell är alltför beroende av detektering och varningar snarare än robust isolering under körning, vilket gör användarna sårbara för intrång på värdnivå.

Enligt rapporten använder Openclaws marknadsplats, Clawhub, för närvarande ett modereringsflöde i flera lager för att granska ”skills” – tredjepartsapplikationer som ger AI-agenten funktioner såsom systemautomatisering eller hantering av kryptovalutaplånböcker. Denna pipeline inkluderar Virustotal för skanning av känd skadlig kod och Static Moderation Engine, ett verktyg som introducerades den 8 mars 2026 för att flagga misstänkta kodmönster. Den inkluderar också vad rapporten kallade en ”inkonsekvensdetektor” utformad för att upptäcka avvikelser mellan en skills angivna syfte och dess faktiska beteende.

Certiks forskare uppgav dock att statiska regler som letar efter ”röda flaggor” kunde kringgås genom enkel omskrivning av koden. De hävdade också att AI-granskningslagret visade sig vara effektivt för att upptäcka uppenbara avsikter, men hade svårt att identifiera utnyttjbara sårbarheter dolda i kod som i övrigt såg trovärdig ut.

”Väntande”-gapet

En av de mest kritiska bristerna som Certik identifierade är hanteringen av väntande skanningsresultat. Forskarna fann att en funktion kunde förbli aktiv och installerbara på marknadsplatsen även medan Virustotal-resultaten fortfarande var väntande – en process som kan ta timmar eller dagar. I praktiken behandlades dessa väntande funktioner som ofarliga, vilket gjorde att de kunde installeras utan varning till användaren.

För att bevisa sårbarheten skapade Certiks forskare en proof-of-concept-skill (PoC) kallad ”test-web-searcher”. Skillen verkade fungera och vara ofarlig, men innehöll en dold ”sårbarhetsformad” bugg som möjliggjorde godtycklig kommandokörning på värdmaskinen. När den anropades via Telegram lyckades skillen kringgå Openclaws valfria sandboxing och ”öppnade en miniräknare” på forskarens maskin – en klassisk demonstration av fullständig systemkompromettering.

Rapporten drar slutsatsen att detektering aldrig kan ersätta en verklig säkerhetsgräns. Certik uppmanar Openclaws utvecklare att köra tredjepartsfunktioner i isolerade miljöer som standard, istället för att förlita sig på valfri användarkonfiguration. Utvecklare bör också implementera en modell där funktioner måste deklarera specifika resursbehov i förväg, liknande moderna mobila operativsystem.

För användarna gav Certik en tydlig varning: En ”godartad” etikett på Clawhub är inte ett bevis på säkerhet. Tills starkare isolering är standard bör plattformen endast användas i miljöer med lågt värde, långt borta från känsliga inloggningsuppgifter eller tillgångar.

Vanliga frågor ❓

• Vilket säkerhetsproblem upptäckte Certik i Openclaw? Certik rapporterade att Openclaws beroende av ”skill-skanning” inte skyddar användarna tillräckligt mot skadliga tillägg från tredje part.
• Hur fungerar Openclaws modereringsflöde? Openclaw använder ett flerskiktat modereringsflöde, inklusive verktyg som Virustotal och en inkonsekvensdetektor för att granska tredjeparts-”skills”.
• Vad är den kritiska bristen när det gäller väntande skanningsresultat? Funktioner kan förbli aktiva och installerbara medan skanningsresultaten väntar, vilket utgör en risk eftersom användare utan att veta om det kan installera skadliga tillägg.
• Vad bör användare göra för att skydda sina data på Openclaw? Användare rekommenderas att endast använda Openclaw i miljöer med lågt värde tills utvecklare har implementerat starkare isoleringsåtgärder.