在最近的研究中,團隊展示了一個被破壞的第三方“技能”在OpenClaw平台上如何繞過現有的安全措施,執行任意命令於主機系統上。這些發現突顯了AI代理市場在審核和部署外部代碼方面的結構性弱點。
該研究聚焦於Clawhub所使用的審查流程,包括靜態代碼分析、VirusTotal檢查以及基於AI的審核工具。
熱點新聞
富爸爸窮爸爸作者:比特幣將突破750,000美元
加密市場回顧:XRP準備衝向1.70美元,以太坊(ETH)進入牛市模式,柴犬幣(SHIB)是否終於進入牛市?
根據CertiK的說法,這些機制可以通過較小的代碼修改來繞過。通過略微改變邏輯或重構漏洞,惡意技能在安裝時可能看似無害,但一旦部署,仍能執行有害行動。
這為用戶帶來了錯誤的安全感,因為市場審查系統的批准並不保證技能的安全。
這個概念驗證攻擊凸顯了一個影響AI代理生態系統的更大問題:安全模型過度依賴部署前的審查,而忽視了運行時的保護。
如果沒有沙箱、嚴格的權限控制和運行時隔離等保障措施,平台實際上將過多責任推給了本不適合處理複雜、演變中的威脅的檢測系統。
研究結果指出,隨著AI代理市場的擴展,惡意或被破壞的技能進入生產環境的風險將增加。
CertiK的研究人員認為,行業必須重新思考其保障AI代理的方式,將重點從檢測轉向運行時的封鎖。
平台不應假設所有惡意代碼都能在部署前被識別,而應設計成預期某些威脅不可避免地會繞過審查流程。在這個模型中,重點從防止每一次入侵轉向最小化一次入侵可能造成的損害。
這代表從“完美檢測”思維向以損害控制和系統韌性為中心的更廣泛轉變。
為了應對這些風險,CertiK提出了多項措施供開發者在構建AI代理平台時參考。
沙箱應成為第三方技能的預設執行模型,確保外部代碼在隔離環境中運行,而非直接與主機系統交互。
此外,平台應實施細粒度的每技能權限框架。每個技能應明確聲明所需資源,並由運行時在執行期間強制執行這些權限。這種做法可以限制被破壞或惡意組件的潛在影響。
研究人員還強調,第三方技能不應從主機系統繼承廣泛的隱性信任,因為這大大增加了被利用的風險。
對用戶而言,該報告強調一個重要限制:在市場中的“良性”標籤並不等同於真正的安全。它僅表示現有的審查流程未能檢測出威脅。
在更廣泛的範圍內,在廣泛採用更強的運行時保護措施之前,像OpenClaw這樣的平台可能更適合低風險環境,這些環境不涉及敏感數據、憑證或高價值資產。
更普遍而言,這項研究指出了AI生態系統中的結構性問題。雖然審查流程可以幫助識別明顯的威脅,但它們不能作為執行具有提升權限的第三方代碼系統的主要防禦機制。
CertiK總結認為,實質性的安全改進將需要改變AI代理平台的設計方式。
開發者不應再依賴日益複雜的檢測系統,而應建立假設失敗可能的環境,並確保任何入侵都能被封鎖。這包括採用更強的隔離技術、執行嚴格的權限控制,以及將運行時安全作為核心保護層。
隨著AI驅動的應用不斷增長與普及,能在運行時控制風險的能力可能成為保障下一代數字生態系統的關鍵因素。
