OpenClaw може викачати кошти з криптовалютного гаманця “шкідливими навичками”, CertiK попереджає
CertiK щойно заявила про те, що AI-агенти на кшталт OpenClaw можуть стати небезпечним інструментом для користувачів криптовалют, особливо якщо в них встановлені “шкідливі навички”, здатні непомітно викрадати активи в гаманці. За словами цієї служби з безпекового аудиту, ризик полягає не в самому AI, а в тому, як може бути використана екосистема задач, розширення та рівень доступу, який він має.
У своїй найновішій рекомендації CertiK повідомляє, що людям, які “не є фахівцями з безпеки, розробниками або досвідченими представниками технічної спільноти”, варто уникати встановлення та використання OpenClaw. Головне занепокоєння виникає тоді, коли користувач надає агенту AI надто широкі дозволи: у такому разі він може виконувати дії поза очікуваннями — від доступу до чутливих даних до керування гаманцем або підписання транзакцій.
Чому AI-агент може стати загрозою для криптогаманця
AI-агенти створені для автоматизації роботи: вони взаємодіють із застосунками та виконують завдання замість користувача. Саме ця зручність створює нову поверхню для атак. Якщо до агента додатково вбудувати “skills” або плагіни від сторонніх осіб, зловмисники можуть вставити шкідливий код, перетворивши інструмент підтримки на канал для збору даних або перехоплення контролю над поведінкою на пристрої користувача.
У випадку криптовалютних гаманців достатньо однієї необережної дії — надати дозвіл на підписання транзакцій, небезпечно зберегти seed phrase або дозволити AI-застосунку отримати доступ до браузера й системних файлів — і наслідки можуть бути дуже серйозними. Коли доступ буде зловживано, активи в гаманці можуть бути переказані, а жертва навіть не встигне це помітити.
Що таке “шкідливі навички”?
За термінологією CertiK, “шкідливі навички” — це компоненти-додатки, які встановлюють в AI-агент, щоб розширити функціональність, але насправді вони служать цілям атаки. Вони можуть маскуватися під корисні інструменти, однак усередині містять логіку для викрадення інформації, збору приватних ключів, зміни даних або автоматичного виконання небезпечних дій, коли користувач цього не помічає.
Найтривожніше те, що ці компоненти часто не викликають уваги з самого початку. Вони можуть працювати “тихо”, активуючись лише за певних умов, через що виявити їх неозброєним оком значно складніше, ніж традиційне шкідливе програмне забезпечення.
На кого найчастіше спрямовані ризики
CertiK підкреслює, що найбільш уразливою є група користувачів, які не глибоко розуміють безпеку. Їх часто приваблює здатність до автоматизації, дружній інтерфейс і обіцянка економити час за допомогою інструментів AI. Проте якщо користувачі не розуміють модель надання дозволів, як перевіряти джерело встановлення або як ізолювати чутливі дані, вони надзвичайно легко можуть ненавмисно відкрити двері для ризиків.
На тлі того, що на ринку crypto все ще є багато прогалин у розумінні безпеки, навіть один випадок необережного встановлення може призвести до серйозних наслідків. Саме тому експерти радять користувачам ставитися до будь-яких AI-застосунків, які отримують доступ до системи, як до програмного забезпечення з підвищеним рівнем ризику.
Що потрібно робити, щоб зменшити ризики?
CertiK вважає, що користувачам слід віддавати пріоритет принципу мінімізації доступу, встановлювати лише з довірених джерел і категорично не ділитися ні приватними ключами, ні seed phrase, ні обліковими даними входу з будь-якими AI-агентами. Якщо інструмент запитує занадто багато прав порівняно з функціями, які обіцяють, це є сигналом для підвищеної обережності.
Для розробників і досвідчених користувачів необхідні заходи захисту — перевірка коду, ізоляція середовища запуску, моніторинг мережевої поведінки та відокремлення гаманця, де зберігаються великі активи, від пристрою, який використовують для тестування AI. У епоху AI-агентів безпека вже не є лише питанням гаманців або бірж — вона також залежить від кожного шару проміжних інструментів, яким користувачі вирішують довіряти.
Висновок
Попередження від CertiK демонструє, що хвиля AI-агентів відкриває для індустрії crypto новий фронт безпеки. Коли інструменти автоматизації стають дедалі розумнішими й їх важче контролювати, ризик того, що їх використають для атак на криптовалютні гаманці, зростає. Для пересічних користувачів обережність перед встановленням і наданням доступу будь-якому AI-агенту — це найпростіший, але найважливіший спосіб захистити активи.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
