一份由網絡安全公司Certik於2026年3月16日發布的報告警告,開源人工智慧平台Openclaw存在多個安全漏洞,尤其是“技能掃描”機制不足以保護用戶免受第三方惡意擴展(技能)的威脅。
根據報告,Openclaw的安全模型過度依賴於檢測和警示,而非安全運行時隔離(runtime isolation),使得用戶容易在系統層面受到入侵。
在Openclaw的市場中,Clawhub上的“技能”——由第三方提供的自動化系統或加密貨幣錢包管理應用——經過多層審查,包括Virustotal用於掃描已知惡意碼、靜態審查引擎(Static Moderation Engine)用於檢測可疑模式,以及一個“非一致性檢測器”用於比對技能聲稱的目的與實際行為之間的差異。
然而,Certik認為,靜態規則可以被通過簡單重寫代碼來繞過。AI評估層僅能檢測明確的意圖,對於代碼中隱藏的漏洞仍可能漏掉。
一個重要的弱點是對待待處理掃描結果的處理方式。即使Virustotal尚未返回結果,技能仍可被安裝,這一過程可能持續數小時甚至數天,但系統仍將其視為“安全”。
為了證明這一點,Certik的研究人員創建了一個名為“test-web-searcher”的PoC技能。該技能外觀正常,但內含漏洞,允許在伺服器上執行任意命令。當通過Telegram運行時,該技能能突破Openclaw的沙箱限制,並在測試機上進行計算——這是系統完全被入侵的典型示範。
報告結論指出,檢測無法取代真正的安全邊界。Certik建議Openclaw默認在隔離環境中運行第三方技能,並要求技能提前聲明所需資源,類似現代移動操作系統的做法。
用戶被警告,Clawhub上的“benign”標籤並不代表絕對安全。在更強的隔離機制被默認實施之前,該平台僅應用於低價值環境,避免存放敏感信息或重要資產。
