ทักษะ AI ของ Openclaw มีช่องโหว่ต่อการโจมตีด้วยประสงค์ร้าย นักวิจัยจาก Certik เตือน

ข้อจำกัดของกระบวนการกลั่นกรองของ Clawhub

รายงานโดยบริษัทความปลอดภัยไซเบอร์ Certik ได้เปิดเผยช่องโหว่ด้านความปลอดภัยที่สำคัญใน OpenClaw ซึ่งเป็นแพลตฟอร์มเอเจนต์ปัญญาประดิษฐ์แบบโอเพ่นซอร์ส พร้อมเตือนว่าการพึ่งพา “การสแกนสกิล” นั้นไม่เพียงพอที่จะปกป้องผู้ใช้จากส่วนขยายของบุคคลที่สามที่เป็นอันตราย

ข้อค้นพบซึ่งเผยแพร่เมื่อวันที่ 16 มีนาคม 2026 ระบุว่าโมเดลความปลอดภัยของแพลตฟอร์มพึ่งพาการตรวจจับและการแจ้งเตือนมากเกินไป แทนที่จะมีการแยกตัวขณะรันไทม์ที่แข็งแกร่ง ทำให้ผู้ใช้เสี่ยงต่อการถูกเจาะในระดับโฮสต์

ตาม รายงาน ระบุว่า มาร์เก็ตเพลสของ Openclaw อย่าง Clawhub ปัจจุบันใช้กระบวนการกลั่นกรองแบบหลายชั้นเพื่อรีวิว “สกิล” — แอปพลิเคชันของบุคคลที่สามที่เพิ่มความสามารถให้เอเจนต์ AI เช่น การทำงานอัตโนมัติของระบบ หรือ การดำเนินการเกี่ยวกับกระเป๋าเงินคริปโตเคอร์เรนซี โดยกระบวนการนี้รวมถึง Virustotal สำหรับสแกนมัลแวร์ที่รู้จัก และ Static Moderation Engine ซึ่งเป็นเครื่องมือที่เปิดตัวเมื่อวันที่ 8 มีนาคม 2026 เพื่อทำเครื่องหมายรูปแบบโค้ดที่น่าสงสัย นอกจากนี้ยังมีสิ่งที่รายงานเรียกว่า “ตัวตรวจจับความไม่สอดคล้อง” (incoherence detector) ซึ่งออกแบบมาเพื่อจับความไม่ตรงกันระหว่างวัตถุประสงค์ที่สกิลระบุไว้กับพฤติกรรมจริงของมัน

อย่างไรก็ตาม นักวิจัยของ Certik ระบุว่า กฎแบบสแตติกที่ค้นหา “สัญญาณเตือน” (red flags) สามารถถูกหลบเลี่ยงได้ด้วยการเขียนโค้ดใหม่แบบง่ายๆ พวกเขายังยืนยันว่าเลเยอร์รีวิวด้วย AI มีประสิทธิภาพในการจับเจตนาที่ชัดเจน แต่กลับยากในการระบุช่องโหว่ที่นำไปใช้โจมตีได้ซึ่งถูกซ่อนอยู่ภายในโค้ดที่ดูสมเหตุสมผล

ช่องว่างของสถานะ ‘Pending’

หนึ่งในข้อบกพร่องที่สำคัญที่สุดที่ Certik ระบุคือการจัดการผลการสแกนที่อยู่ระหว่างรอ (pending) นักวิจัยพบว่าสกิลสามารถยังคงแอคทีฟและติดตั้งได้บนมาร์เก็ตเพลส แม้ในขณะที่ผลจาก Virustotal ยังอยู่ระหว่างรอ — กระบวนการที่อาจใช้เวลาหลายชั่วโมงหรือหลายวัน ในทางปฏิบัติ สกิลที่อยู่ระหว่างรอนี้ถูกปฏิบัติราวกับว่าไม่เป็นอันตราย ทำให้สามารถติดตั้งได้โดยไม่มีการเตือนผู้ใช้

เพื่อพิสูจน์ช่องโหว่ นักวิจัยของ Certik ได้สร้างสกิลตัวอย่างเพื่อทดสอบ (proof-of-concept: PoC) ชื่อ “test-web-searcher” สกิลดังกล่าวดูเหมือนใช้งานได้จริงและไม่เป็นพิษเป็นภัย แต่มีบั๊กที่ซ่อนอยู่ในลักษณะ “ช่องโหว่ที่พร้อมให้ใช้โจมตี” ซึ่งเปิดทางให้รันคำสั่งใดๆ บนเครื่องโฮสต์ได้ เมื่อเรียกใช้งานผ่าน Telegram สกิลสามารถหลบเลี่ยงการแซนด์บ็อกซ์แบบเลือกใช้ (optional sandboxing) ของ Openclaw ได้สำเร็จ และ “เปิดเครื่องคิดเลข” บนเครื่องของนักวิจัย — เดโมแบบคลาสสิกที่แสดงถึงการยึดระบบได้ทั้งหมด

รายงานสรุปว่า การตรวจจับไม่มีวันทดแทนขอบเขตความปลอดภัยที่แท้จริงได้ Certik กำลังกระตุ้นให้นักพัฒนา Openclaw รันสกิลของบุคคลที่สามในสภาพแวดล้อมที่แยกออกจากกันโดยค่าเริ่มต้น แทนที่จะพึ่งพาการตั้งค่าทางเลือกของผู้ใช้ นอกจากนี้ นักพัฒนาควรนำโมเดลที่สกิลต้องประกาศความต้องการทรัพยากรเฉพาะล่วงหน้าไปใช้ คล้ายกับระบบปฏิบัติการมือถือสมัยใหม่

สำหรับผู้ใช้ Certik ได้ให้คำเตือนที่ชัดเจน: ป้าย “benign” บน Clawhub ไม่ใช่หลักฐานของความปลอดภัย จนกว่าการแยกตัวที่เข้มแข็งกว่าจะเป็นค่าเริ่มต้น แพลตฟอร์มนี้ควรถูกใช้งานเฉพาะในสภาพแวดล้อมที่มีมูลค่าต่ำ และอยู่ห่างจากข้อมูลรับรองหรือทรัพย์สินที่อ่อนไหว

คำถามที่พบบ่อย ❓

• Certik พบปัญหาด้านความปลอดภัยอะไรใน Openclaw? Certik รายงานว่าการพึ่งพา “การสแกนสกิล” ของ Openclaw ไม่สามารถปกป้องผู้ใช้จากส่วนขยายของบุคคลที่สามที่เป็นอันตรายได้อย่างเพียงพอ
• กระบวนการกลั่นกรองของ Openclaw ทำงานอย่างไร? Openclaw ใช้กระบวนการกลั่นกรองแบบหลายชั้น รวมถึงเครื่องมืออย่าง Virustotal และตัวตรวจจับความไม่สอดคล้องเพื่อรีวิว “สกิล” ของบุคคลที่สาม
• ข้อบกพร่องสำคัญเกี่ยวกับผลการสแกนที่ยังรออยู่คืออะไร? สกิลสามารถยังคงแอคทีฟและติดตั้งได้ในขณะที่ผลการสแกนยังอยู่ระหว่างรอ ซึ่งก่อให้เกิดความเสี่ยง เพราะผู้ใช้อาจติดตั้งส่วนขยายที่เป็นอันตรายโดยไม่รู้ตัว
• ผู้ใช้ควรทำอย่างไรเพื่อปกป้องข้อมูลของตนบน Openclaw? แนะนำให้ผู้ใช้ใช้งาน Openclaw เฉพาะในสภาพแวดล้อมที่มีมูลค่าต่ำ จนกว่านักพัฒนาจะนำมาตรการการแยกตัวที่เข้มแข็งกว่ามาใช้