你的「小龍蝦」正裸奔？CertiK實測：帶漏洞的OpenClaw Skill如何騙過審核 無授權接管電腦

近期，開源自託管AI智能體平台OpenClaw（圈內俗稱「小龍蝦」）憑藉靈活的可擴展性、自主可控的部署特性迅速走紅，成為個人AI智能體賽道的現象級產品。其生態核心Clawhub作為應用市場，匯聚了海量第三方Skill功能插件，能讓智能體一鍵解鎖從網頁搜尋、內容創作，到加密錢包操作、鏈上交互、系統自動化等高階能力，生態規模與用戶量迎來爆髮式增長。

但對於這類運行在高權限環境中的第三方Skill，平台真正的安全邊界到底在哪裡？

近日，全球最大的Web3安全公司CertiK，發布了針對Skill安全的最新研究。文中指出，當前市場對AI智能體生態的安全邊界存在認知錯位：行業普遍將「Skill掃描」當作核心安全邊界，而這套機制在駭客攻擊面前幾乎形同虛設。

如果把OpenClaw比作一台智能設備的操作系統，Skill就是安裝在系統里的各類APP。與普通消費級APP不同，OpenClaw中的一些Skill運行在高權限環境中，可直接訪問本地文件、調用系統工具、連接外部服務、執行宿主環境命令，甚至操作用戶的加密數字資產，一旦出現安全問題，將直接導致敏感資訊泄露、設備被遠程接管、數字資產被盜等嚴重後果。

目前整個行業針對第三方Skill的通用安全解決方案，是「上架前掃描審核」。OpenClaw的Clawhub也搭建了一套三層審核防護體系：融合VirusTotal代碼掃描、靜態代碼檢測引擎、AI邏輯一致性檢測，通過風險分級給用戶推送安全彈窗提示，試圖以此守住生態安全。但CertiK的研究與概念驗證攻擊測試證實，這套檢測體系在真實的攻防對抗中存在短板，無法承擔起安全防護的核心重任。

研究首先拆解了現有檢測機制的天然侷限性：

靜態檢測規則極易被繞過。這套引擎核心靠匹配代碼特徵識別風險，比如將「讀取環境敏感資訊 + 外髮網絡請求」的組合判定為高危行為，但攻擊者只需對代碼做輕微的語法改寫，在完全保留惡意邏輯的前提下，就能輕鬆繞過特徵匹配，如同給危險內容換了一套同義表述，就讓安檢儀徹底失效。

AI審核存在先天檢測盲區。Clawhub的AI審核核心定位是「邏輯一致性檢測器」，只能揪出「聲明功能與實際行為不符」的明顯惡意代碼，卻對隱藏在正常業務邏輯里的可利用漏洞束手無策，就像很難從一份看似合規的合約里，發現藏在條款深處的致命陷阱。

更致命的是，審核流程存在底層設計缺陷：即便VirusTotal的掃描結果還處於「待處理」狀態，未完成全流程「體檢」的Skill也能直接上架公開，用戶可在無警告的情況下完成安裝，給攻擊者留下了可乘之機。

為了驗證風險的真實危害性，CertiK研究團隊完成了完整的測試。團隊開發了一款名為「test-web-searcher」的Skill，表面上是完全合規的網頁搜尋工具，代碼邏輯完全符合常規開發規範，實則在正常功能流程中植入了遠程代碼執行漏洞。

該Skill繞過了靜態引擎與AI審核的檢測，在VirusTotal掃描仍為待處理狀態時，就實現了無任何安全警告的正常安裝；最終通過Telegram遠程發了一句指令，就成功觸發漏洞，在宿主設備上實現了任意命令執行（演示中直接控制系統彈出了計算器）。

CertiK在研究中明確指出，這些問題並非OpenClaw獨有的產品bug，而是整個AI智能體行業的普遍認知誤區：行業普遍把「審核掃描」當成了核心安全防線，卻忽略了真正的安全根基，是運行時的強制隔離與精細化權限管控。這就像蘋果iOS生態的安全核心，從來不是App Store的嚴格審核，而是系統強制的沙盒機制、精細化的權限管控，讓每個APP只能在專屬的「隔離艙」里運行，無法隨意獲取系統權限。而OpenClaw現有的沙盒機制是可選而非強制的，且高度依賴用戶手動配置，絕大多數用戶為了保證Skill的功能可用性，都會選擇關閉沙盒，最終讓智能體處於「裸奔」狀態，一旦安裝了帶漏洞或惡意代碼的Skill，就會直接導致災難性後果。

針對此次發現的問題，CertiK也給出了安全指引：

• 對OpenClaw等AI智能體開發者而言，須將沙盒隔離設為第三方Skill的默認強制配置，精細化Skill的權限管控模型，絕不允許第三方代碼默認繼承宿主機的高權限。

• 對普通用戶而言，Skill市場裡帶有「安全」標籤的Skill，僅僅代表它未被檢測出風險，不等於絕對安全。在官方將底層的強隔離機制設為默認配置之前，建議把OpenClaw部署在不重要的閒置設備或虛擬機中，千萬不要讓它靠近敏感文件、密碼憑證和高價值加密資產。

當前AI智能體賽道正處於爆發前夜，生態擴張的速度絕不能跑贏安全建設的腳步。審核掃描只能攔住初級的惡意攻擊，卻永遠成不了高權限智能體的安全邊界。唯有從「追求完美檢測」轉向「默認風險存在的損害遏制」，從運行時底層強制確立隔離邊界，才能真正兜住AI智能體的安全底線，讓這場技術變革行穩致遠。

研究原文：https://x.com/hhj4ck/status/2033527312042315816?s=20

https://mp.weixin.qq.com/s/Wxrzt7bAo86h3bOKkx6uoA

來源：金色財經

發佈者對本文章的內容承擔全部責任
在投資加密貨幣前，請務必深入研究，理解相關風險，並謹慎評估自己的風險承受能力。不要因為短期高回報的誘惑而忽視潛在的重大損失。