Ваш "мини-омар" бежит голым? CertiK на тестировании: как уязвимый OpenClaw Skill прошел проверку и захватил компьютер без авторизации

Недавно платформа открытого исходного кода для автономных AI-агентов OpenClaw (внутри отрасли известная как «Маленький рак») быстро стала популярной благодаря своей гибкой масштабируемости и автономной управляемости развертывания, став феноменальным продуктом в сегменте личных AI-агентов. Ее ядро экосистемы Clawhub, выступающее в роли маркетплейса приложений, объединяет огромное количество сторонних Skill-плагинов, позволяющих агентам за одну кнопку разблокировать расширенные возможности — от веб-поиска и контент-креатива до операций с криптокошельками, взаимодействия с блокчейном и автоматизации систем. Масштаб и число пользователей экосистемы стремительно растут.

Но где на самом деле находится граница безопасности для таких сторонних Skill, работающих в среде с высокими привилегиями?

Недавно крупнейшая в мире компания по безопасности Web3 CertiK опубликовала новое исследование по безопасности Skill. В статье отмечается, что в текущем рынке существует искажение восприятия границ безопасности экосистемы AI-агентов: большинство индустрии считает «сканирование Skill» основной линией защиты, однако эта система практически бесполезна перед лицом хакерских атак.

Если сравнить OpenClaw с операционной системой для умных устройств, то Skill — это приложения, установленные в системе. В отличие от обычных потребительских приложений, некоторые Skill в OpenClaw работают в среде с высокими привилегиями: имеют доступ к локальным файлам, могут вызывать системные инструменты, подключаться к внешним сервисам, выполнять команды хост-среды и даже управлять криптоактивами пользователя. В случае возникновения уязвимости это может привести к утечке конфиденциальной информации, удаленному управлению устройством или краже цифровых активов — последствия могут быть катастрофическими.

На сегодняшний день в отрасли существует универсальное решение по безопасности сторонних Skill — «сканирование и проверка перед публикацией». В свою очередь, Clawhub реализовал трехуровневую систему проверки: интеграцию с VirusTotal для сканирования кода, статический анализ кода и проверку логической согласованности AI, а также риск-уровневые уведомления пользователю. Всё это делается для защиты экосистемы. Однако исследования CertiK и проведенные ими тесты на практике показали, что эта система имеет существенные недостатки и не способна обеспечить полноценную безопасность.

Исследование выявило основные ограничения существующих методов:

Статические правила обнаружения легко обходятся. Аналитический движок ищет риск по признакам кода, например, по сочетанию «чтение чувствительных данных окружения + отправка запросов в сеть». Но злоумышленник может внести минимальные изменения в синтаксис, сохранив вредоносную логику, и обойти эти правила, словно меняет синонимы в опасном содержимом, делая систему проверки бесполезной.

AI-отслеживание имеет врожденные слепые зоны. В Clawhub AI-отслеживание основано на «проверке логической согласованности», которая может выявить явно вредоносный код, противоречащий заявленной функции. Но она бессильна против скрытых уязвимостей внутри обычной бизнес-логики, как трудно обнаружить смертельную ловушку в казалось бы законном контракте.

Еще более опасно — недостатки в архитектуре проверки. Даже если результаты VirusTotal еще в статусе «ожидает обработки», Skill может быть опубликован и доступен пользователю без предупреждения. Пользователь может установить его без предупреждения, оставляя возможность злоумышленнику воспользоваться уязвимостью.

Для подтверждения реальной опасности команда CertiK создала тестовую Skill под названием «test-web-searcher», которая внешне выглядит как обычный поисковик, полностью соответствует стандартам разработки, но внутри содержит уязвимость удаленного выполнения кода. Эта Skill прошла проверку статического анализа и AI-отслеживания, но при этом, находясь в статусе «ожидает обработки» в VirusTotal, она была успешно установлена без предупреждения. В дальнейшем, по команде через Telegram, злоумышленник активировал уязвимость и выполнил произвольную команду на хосте, в том числе вызвав калькулятор — демонстрация полного контроля.

CertiK ясно указал, что подобные проблемы — не уникальная особенность OpenClaw, а характерная для всей индустрии AI-агентов. Основная ошибка — это чрезмерное доверие к «сканированию и проверке», в то время как настоящая безопасность достигается за счет изоляции в рантайме и тонкого управления правами. Это похоже на систему безопасности iOS: ключ к защите — не только строгий контроль приложений в App Store, а встроенная система песочницы и детальное управление разрешениями, которые позволяют приложениям работать только в изолированной среде, не получая системных привилегий. В случае OpenClaw текущая песочница — это опция, а не обязательное требование, и она сильно зависит от ручных настроек пользователя. Большинство пользователей отключают песочницу ради функциональности Skill, что оставляет систему уязвимой — установка вредоносных или уязвимых Skill может привести к катастрофе.

В ответ на выявленные проблемы CertiK дает рекомендации по безопасности:

● Для разработчиков AI-агентов, таких как OpenClaw, необходимо сделать изоляцию в песочнице обязательной настройкой по умолчанию для сторонних Skill, внедрить тонкое управление правами и не допускать наследование высоких привилегий хост-системы сторонним кодом.

● Для обычных пользователей важно помнить, что наличие «безопасной» метки у Skill означает лишь то, что она не была обнаружена как опасная на текущий момент, но не гарантирует абсолютную безопасность. Пока встроенная изоляция не станет обязательной по умолчанию, рекомендуется запускать OpenClaw на изолированных или виртуальных машинах, избегая доступа к конфиденциальным файлам, паролям и ценным криптоактивам.

На пороге массового распространения AI-агентов важно не допустить, чтобы скорость расширения экосистемы опередила развитие мер безопасности. Проверка и сканирование — это лишь базовая защита от начальных атак, но не может стать основой безопасности с высокими привилегиями. Настоящая защита достигается за счет перехода от «поиска идеальных методов обнаружения» к «предотвращению ущерба при наличии риска» и внедрения жесткой изоляции на уровне рантайма. Только так можно обеспечить надежную безопасность AI-агентов и обеспечить устойчивое развитие этой технологической революции.