Ваш "мини-омар" бежит голым? CertiK на тестировании: как уязвимый OpenClaw Skill прошел проверку и захватил компьютер без авторизации

В последнее время платформа открытого исходного кода для автономных AI-агентов OpenClaw (внутри индустрии известная как «Маленький рак»), благодаря своей гибкой масштабируемости и возможностям самостоятельного развертывания, быстро стала популярной и превратилась в феноменальный продукт в сфере личных AI-агентов. Ее ядро экосистемы Clawhub, выступающее в роли маркетплейса приложений, объединяет огромное количество сторонних Skill-плагинов, позволяющих агентам за одну кнопку разблокировать расширенные функции — от поиска в интернете и создания контента до работы с криптокошельками, взаимодействия с блокчейном и автоматизации систем. Масштаб и число пользователей растут взрывными темпами.

Но где на самом деле находится граница безопасности для таких сторонних Skill, работающих в среде с высокими привилегиями?

Недавно крупнейшая в мире компания по безопасности Web3 CertiK опубликовала новое исследование по безопасности Skill. В статье отмечается, что в текущем рынке существует искаженное восприятие границ безопасности экосистемы AI-агентов: большинство индустрии считает «сканирование Skill» основной линией защиты, однако эта система практически бесполезна перед лицом хакерских атак.

Если сравнить OpenClaw с операционной системой для умных устройств, то Skill — это приложения, установленные в системе. В отличие от обычных потребительских приложений, некоторые Skill в OpenClaw работают в среде с высокими привилегиями: они могут напрямую обращаться к локальным файлам, вызывать системные утилиты, подключаться к внешним сервисам, выполнять команды хост-среды и даже управлять криптоактивами пользователя. В случае возникновения уязвимости это может привести к утечке конфиденциальной информации, удаленному управлению устройством или краже цифровых активов — последствия могут быть катастрофическими.

На сегодняшний день в индустрии существует универсальное решение по безопасности сторонних Skill — «сканирование и проверка перед публикацией». В OpenClaw для этого реализована трехуровневая система проверки: интеграция с VirusTotal для сканирования кода, статический анализатор и проверка логической согласованности AI. Пользователю показываются предупреждающие окна о рисках, что должно обеспечить безопасность экосистемы. Однако исследования CertiK и проведенные ими тесты подтверждают, что эта система имеет существенные недостатки и не способна обеспечить надежную защиту в реальных условиях.

Исследование выявило основные ограничения существующих методов:

Статические правила обнаружения легко обходятся. Аналитический движок ищет рискованные признаки в коде, например, комбинацию «чтение чувствительной информации окружения + отправка запросов в сеть». Но злоумышленник может внести небольшие изменения в синтаксис, сохранив при этом вредоносную логику, и обойти такие правила, словно меняет синонимы, делая систему проверки бессильной.

AI-авторизация имеет свои слепые зоны. В основе Clawhub лежит «детектор логической согласованности», который способен выявить явно вредоносный код, противоречащий заявленной функции. Но он бессилен обнаружить скрытые уязвимости внутри обычной бизнес-логики, подобно тому, как трудно найти смертельную ловушку в контракте, выглядящем полностью легитимным.

Еще более опасно — фундаментальные недостатки в процессе проверки. Даже если результаты VirusTotal еще в статусе «ожидает обработки», Skill может быть опубликован и доступен для установки без предупреждений. Пользователь может установить его без предупреждения, что дает злоумышленнику возможность воспользоваться уязвимостью.

Для проверки реальной опасности команда CertiK создала тестовую Skill под названием “test-web-searcher”. На первый взгляд это полностью легальный инструмент поиска в интернете, код соответствует стандартам, но внутри заложена уязвимость удаленного выполнения кода.

Эта Skill прошла проверку статического анализа и AI, и даже при статусе «ожидает обработки» в VirusTotal она могла быть установлена без предупреждений. В дальнейшем, отправив команду через Telegram, злоумышленник смог активировать уязвимость и выполнить произвольные команды на устройстве, например, вызвать калькулятор — демонстрационный пример полного контроля.

В исследовании CertiK ясно указано, что эти проблемы не уникальны для OpenClaw, а являются общей ошибкой восприятия в индустрии AI-агентов: большинство полагается только на «сканирование и проверку» как на основную защиту, игнорируя фундаментальные принципы безопасности — изоляцию во время выполнения и тонкое управление правами. Это похоже на систему безопасности iOS: ее ядро — не строгий контроль App Store, а встроенная система песочницы и детальное управление разрешениями, которые позволяют приложениям работать только в изолированной среде и не получать системных привилегий. В OpenClaw текущая песочница — опциональная и зависит от настроек пользователя, большинство из которых отключают ее для повышения функциональности, что оставляет систему уязвимой при установке вредоносных или уязвимых Skill.

В связи с этим CertiK дает рекомендации по обеспечению безопасности:

● Разработчикам AI-агентов вроде OpenClaw необходимо сделать изоляцию в песочнице обязательной настройкой по умолчанию для сторонних Skill, внедрить тонкое управление правами и не допускать автоматического наследования высоких привилегий хоста.

● Пользователям рекомендуется помнить, что наличие «безопасной» метки у Skill не гарантирует абсолютную безопасность — это лишь отсутствие обнаруженных рисков. Пока базовые механизмы изоляции не станут обязательными по умолчанию, лучше запускать OpenClaw на изолированных или виртуальных машинах, избегая доступа к конфиденциальным файлам, паролям и ценным активам.

На пороге масштабного роста AI-агентов важно не допустить, чтобы скорость расширения экосистемы опередила развитие мер безопасности. Скрининг и сканирование — лишь базовые средства защиты, не способные обеспечить безопасность с высокими привилегиями. Только переход к «принятию риска по умолчанию» и жесткому изоляционному управлению во время выполнения сможет обеспечить надежную защиту и сделать технологическую революцию устойчивой и безопасной.