У звіті компанії Certik висвітлено значні недоліки безпеки в Openclaw — платформі штучного інтелекту з відкритим кодом — зокрема, її залежність від функції «сканування навичок», яка не забезпечує належного захисту користувачів від шкідливих розширень сторонніх розробників.
Дослідники Certik попереджають: функції Openclaw AI вразливі до зловмисних атак
АВТОР
ПОДІЛИТИСЯ
Обмеження конвеєра модерації Clawhub
Звіт компанії Certik, що спеціалізується на кібербезпеці, виявив значні прогалини в безпеці OpenClaw, платформи штучного інтелекту з відкритим кодом, і попередив, що її залежність від «сканування навичок» є недостатньою для захисту користувачів від шкідливих розширень сторонніх розробників.
Результати дослідження, опубліковані 16 березня 2026 року, свідчать про те, що модель безпеки платформи занадто сильно покладається на виявлення та попередження, а не на надійну ізоляцію під час виконання, що робить користувачів вразливими до атак на рівні хоста.
Згідно зі звітом, маркетплейс Openclaw, Clawhub, наразі використовує багаторівневий потік модерації для перевірки «навичок» — сторонніх додатків, що надають агенту ШІ такі можливості, як автоматизація системи або операції з криптовалютними гаманцями. Цей конвеєр включає Virustotal для сканування відомого шкідливого програмного забезпечення та Static Moderation Engine — інструмент, представлений 8 березня 2026 року, для позначення підозрілих шаблонів коду. Він також включає те, що у звіті названо «детектором невідповідності», призначений для виявлення розбіжностей між заявленою метою навички та її фактичною поведінкою.
Однак дослідники Certik заявили, що статичні правила, які шукають «червоні прапорці», були обійдені за допомогою простого переписання коду. Вони також стверджували, що рівень перевірки ШІ виявився ефективним у виявленні очевидних намірів, але мав труднощі з ідентифікацією вразливостей, придатних для експлуатації, прихованих у коді, який інакше виглядав би правдоподібним.
Прогалина «Очікування»
Однією з найкритичніших вад, виявлених Certik, є обробка результатів сканування, що очікують на обробку. Дослідники виявили, що скіл може залишатися активним і доступним для встановлення на маркетплейсі навіть тоді, коли результати Virustotal ще очікують на обробку — процес, який може тривати години або дні. На практиці ці скіли, що очікують на обробку, розглядалися як безпечні, що дозволяло встановлювати їх без попередження користувача.
Щоб довести наявність уразливості, дослідники Certik створили скіл «test-web-searcher» для підтвердження концепції (PoC). Скіл виглядав функціональним і нешкідливим, але містив приховану «уразливу» помилку, яка дозволяла виконувати довільні команди на хост-машині. При запуску через Telegram скіл успішно обійшов опціональну пісочницю Openclaw і «запустив калькулятор» на машині дослідника — класична демонстрація повного компрометації системи.
Autonomous AI: Бот Openclaw Створює 'Дочірнього' Агента і Фінансує Його Біткоїнами
Дізнайтеся про інноваційного агента Openclaw, який автономно купує інфраструктуру за біткоїни без участі людини. read more.
Читати
Autonomous AI: Бот Openclaw Створює 'Дочірнього' Агента і Фінансує Його Біткоїнами
Дізнайтеся про інноваційного агента Openclaw, який автономно купує інфраструктуру за біткоїни без участі людини. read more.
ЧитатиAutonomous AI: Бот Openclaw Створює 'Дочірнього' Агента і Фінансує Його Біткоїнами
ЧитатиДізнайтеся про інноваційного агента Openclaw, який автономно купує інфраструктуру за біткоїни без участі людини. read more.
У звіті зроблено висновок, що виявлення ніколи не може замінити справжню межу безпеки. Certik закликає розробників Openclaw за замовчуванням запускати сторонні скіли в ізольованих середовищах, а не покладатися на опціональну конфігурацію користувача. Розробники також повинні впровадити модель, за якою скіли повинні заздалегідь заявляти про конкретні потреби в ресурсах, подібно до сучасних мобільних операційних систем.
Для користувачів Certik висловив суворе попередження: позначка «безпечний» на Clawhub не є доказом безпеки. Доки більш сильна ізоляція не стане стандартною, платформу слід використовувати лише в середовищах з низькою цінністю, подалі від конфіденційних облікових даних або активів.
FAQ ❓
- Яку проблему безпеки Certik виявив в Openclaw? Certik повідомив, що залежність Openclaw від «сканування скілів» не забезпечує належного захисту користувачів від шкідливих сторонніх розширень.
- Як працює процес модерації в Openclaw? Openclaw використовує багаторівневий процес модерації, що включає такі інструменти, як Virustotal та детектор невідповідностей, для перевірки сторонніх «навичок».
- У чому полягає критична вразливість, пов’язана з очікуванням результатів сканування? Навички можуть залишатися активними та доступними для встановлення, поки результати сканування очікуються, що створює ризик, оскільки користувачі можуть несвідомо встановити шкідливі розширення.
- Що повинні робити користувачі, щоб захистити свої дані в Openclaw? Користувачам рекомендується використовувати Openclaw лише в середовищах з низькою цінністю, доки розробники не впровадять більш надійні заходи ізоляції.
