一份由网络安全公司Certik于2026年3月16日发布的报告警告称,Openclaw——一个开源人工智能平台——存在许多安全漏洞,尤其是“技能扫描”机制不足以保护用户免受第三方恶意扩展(技能)的影响。
据报告,Openclaw的安全模型过度依赖检测和警告,而非安全隔离(运行时隔离),这使得用户在系统层面容易受到入侵。
在Openclaw的市场中,Clawhub上的“技能”——由第三方提供的具有自动化系统或加密钱包管理等功能的应用——经过多层审查,包括使用Virustotal扫描已知的恶意代码、静态审核引擎检测可疑模式,以及“非一致性检测器”工具检查技能声明的目的与实际行为之间的差异。
然而,Certik认为静态规则可以通过简单重写代码绕过。AI评估层只检测明确的意图,而隐藏在代码中的漏洞,即使看似合理,也可能被遗漏。
一个关键弱点是对待处理扫描结果的处理方式。即使Virustotal尚未返回结果,技能仍可被安装,这一过程可能持续数小时或数天,但系统仍将其视为“安全”。
为此,Certik的研究人员创建了一个名为“test-web-searcher”的PoC技能。该技能表面上看似普通,但包含允许在服务器上执行任意命令的漏洞。当通过Telegram运行时,该技能绕过Openclaw的沙箱限制,实际在测试机上进行计算——这是系统完全被入侵的典型示例。
报告总结指出,检测无法取代真正的安全边界。Certik建议Openclaw默认在隔离环境中运行第三方技能,并要求技能提前声明所需资源,类似现代移动操作系统的做法。
用户被警告,Clawhub上的“benign”标签并不意味着绝对安全。在更强的隔离机制被默认采用之前,该平台应仅在低价值环境中使用,避免处理敏感信息或重要资产。
