Certik研究人员警告：Openclaw AI Skills易受恶意攻击

Clawhub 审核流程的局限性

网络安全公司 Certik 的一份报告揭示了开源人工智能代理平台 OpenClaw 存在重大安全漏洞，并警告称其对“技能扫描”的依赖不足以保护用户免受恶意第三方扩展程序的侵害。

这份于2026年3月16日发布的报告指出，该平台的安全模型过度依赖检测和预警机制，而非强健的运行时隔离机制，这使得用户容易遭受主机级别的安全威胁。

报告指出，OpenClaw的市场平台Clawhub目前采用分层审核流程来审查“技能”——即赋予AI代理系统自动化或加密货币钱包操作等能力的第三方应用程序。该流程包含使用Virustotal扫描已知恶意软件，以及2026年3月8日推出的“静态审核引擎”（Static Moderation Engine），用于标记可疑代码模式。 该流程还包含报告中所称的“不一致检测器”，旨在发现技能声明目的与其实际行为之间的矛盾。 然而，Certik的研究人员指出，通过简单的代码重写即可绕过用于搜索“红旗”的静态规则。他们还强调，AI审查层虽能有效识别明显的恶意意图，但在识别隐藏于看似合理的代码中的可利用漏洞方面却力不从心。

“待处理”的漏洞

Certik发现的最关键缺陷之一在于对待处理扫描结果的处理方式。研究人员发现，即使Virustotal的扫描结果仍在处理中（该过程可能需要数小时甚至数天），技能仍可在应用商店中保持活跃并可供安装。实际上，这些待处理的技能被视为无害，允许用户在未收到警告的情况下进行安装。

为验证该漏洞，Certik研究人员创建了一个名为“test-web-searcher”的概念验证（PoC）技能。 该技能看似功能正常且无害，但暗藏一个“漏洞形态”的缺陷，可让攻击者在主机上执行任意命令。当通过Telegram调用时，该技能成功绕过了Openclaw的可选沙箱机制，并在研究人员的机器上“弹出了计算器”——这充分展示了系统被完全攻破的经典场景。

报告总结指出，检测永远无法替代真正的安全边界。Certik敦促Openclaw开发者默认在隔离环境中运行第三方技能，而非依赖可选的用户配置。开发者还应采用类似现代移动操作系统的模式，要求技能必须预先声明具体的资源需求。

对于用户，Certik 发出严厉警告：Clawhub 上的“良性”标签并非安全性的证明。在更强的隔离机制成为默认设置之前，该平台仅应用于远离敏感凭证或资产的低价值环境中。

常见问题 ❓

• Certik 在 Openclaw 中发现了什么安全问题？Certik 报告称，Openclaw 对“技能扫描”的依赖无法充分保护用户免受恶意第三方扩展程序的侵害。
• Openclaw 的审核流程如何运作？Openclaw 采用分层审核流程，包括使用 Virustotal 和不一致检测器等工具来审查第三方“技能”。
• 关于待处理扫描结果的关键漏洞是什么？在扫描结果待处理期间，技能仍可保持活跃并可供安装，这会带来风险，因为用户可能在不知情的情况下安装恶意扩展程序。
• 用户应如何保护自己在 Openclaw 上的数据？建议用户在开发者实施更强有力的隔离措施之前，仅在低价值环境中使用 Openclaw。