熱門話題
查看更多39.72萬 熱度
4999.38萬 熱度
52.13萬 熱度
212.06萬 熱度
18.55萬 熱度
置頂
Gate Booster 第 4 期:發帖瓜分 1,500 $USDT
🔹 發布 TradFi 黃金福袋原創內容,可得 15 $USDT,名額有限先到先得
🔹 本期支持 X、YouTube 發布原創內容
🔹 無需複雜操作,流程清晰透明
🔹 流程:申請成為 Booster → 領取任務 → 發布原創內容 → 回鏈登記 → 等待審核及發獎
📅 任務截止時間:03月20日16:00(UTC+8)
立即領取任務:https://www.gate.com/booster/10028?pid=allPort&ch=KTag1BmC
更多詳情:https://www.gate.com/announcements/article/50203🤖 尋找 Gate 廣場 AI 評測官!$50,000 懸賞令發布!
發帖聊 AI,獎金拿到手軟!新人首帖獎勵翻倍,單帖最高 200U!
📝 立即報名:https://www.gate.com/questionnaire/7477
1️⃣ 發帖得紅包,單帖最高 100U!
2️⃣ Top 體驗分享官:帶 #Gate广场AI测评官 聊技巧,贏國米球衣!
3️⃣ 收益率 PK 王:曬 AI 收益截圖,贏 Gate 定制運動套裝!
4️⃣ 深度好文額外加碼 30U 每篇張榜公布!
💬 來 Gate 廣場,把握行業新趨勢:https://www.gate.com/post
時間:3/12 18:00 – 3/27 24:00 (UTC+8)
詳情:https://www.gate.com/announcements/article/50206Gate 廣場內容挖礦獎勵繼續升級!無論您是創作者還是用戶,挖礦新人還是頭部作者都能贏取好禮獲得大獎。現在就進入廣場探索吧!
創作者享受最高60%創作返佣
創作者獎勵加碼1500USDT:更多新人作者能瓜分獎池!
觀眾點擊交易組件交易贏大禮!最高50GT等新春壕禮等你拿!
詳情:https://www.gate.com/announcements/article/49802
Your "Crawdad" is Running Naked? CertiK Test Shows: How OpenClaw Skill with Vulnerabilities Bypassed Audit and Took Over Computer Without Authorization
近期,開源自托管 AI 智能體平台 OpenClaw(圈內俗稱“小龍蝦”)憑藉靈活的可擴展性、自主可控的部署特性迅速走紅,成為個人 AI 智能體賽道的現象級產品。其生態核心 Clawhub 作為應用市場,匯聚了海量第三方 Skill 功能插件,能讓智能體一鍵解鎖從網頁搜索、內容創作,到加密錢包操作、鏈上交互、系統自動化等高階能力,生態規模與用戶量迎來爆發式增長。
但對於這類運行在高權限環境中的第三方 Skill,平台真正的安全邊界到底在哪裡?
近日,全球最大的 Web3 安全公司 CertiK,發布了針對 Skill 安全的最新研究。文中指出,當前市場對 AI 智能體生態的安全邊界存在認知錯位:行業普遍將“Skill 掃描”當作核心安全邊界,而這套機制在黑客攻擊面前幾乎形同虛設。
如果把 OpenClaw 比作一台智能設備的操作系統,Skill 就是安裝在系統裡的各類 APP。與普通消費級 APP 不同,OpenClaw 中的一些 Skill 運行在高權限環境中,可直接訪問本地文件、調用系統工具、連接外部服務、執行宿主環境命令,甚至操作用戶的加密數字資產,一旦出現安全問題,將直接導致敏感信息泄露、設備被遠程接管、數字資產被盜等嚴重後果。
目前整個行業針對第三方 Skill 的通用安全解決方案,是“上架前掃描審核”。OpenClaw 的 Clawhub 也搭建了一套三層審核防護體系:融合 VirusTotal 代碼掃描、靜態代碼檢測引擎、AI 邏輯一致性檢測,通過風險分級給用戶推送安全彈窗提示,試圖以此守住生態安全。但 CertiK 的研究與概念驗證攻擊測試證實,這套檢測體系在真實的攻防對抗中存在短板,無法承擔起安全防護的核心重任。
研究首先拆解了現有檢測機制的天然局限性:
靜態檢測規則極易被繞過。這套引擎核心靠匹配代碼特徵識別風險,比如將“讀取環境敏感信息 + 外發網絡請求”的組合判定為高危行為,但攻擊者只需對代碼做輕微的語法改寫,在完全保留惡意邏輯的前提下,就能輕鬆繞過特徵匹配,如同給危險內容換了一套同義表述,就讓安檢儀徹底失效。
AI 審核存在先天檢測盲區。Clawhub 的 AI 審核核心定位是“邏輯一致性檢測器”,只能揪出“聲明功能與實際行為不符”的明顯惡意代碼,卻對隱藏在正常業務邏輯裡的可利用漏洞束手無策,就像很難從一份看似合規的合同裡,發現藏在條款深處的致命陷阱。
更致命的是,審核流程存在底層設計缺陷:即便 VirusTotal 的掃描結果還處於“待處理”狀態,未完成全流程“體檢”的 Skill 也能直接上架公開,用戶可在無警告的情況下完成安裝,給攻擊者留下了可乘之機。
為了驗證風險的真實危害性,CertiK 研究團隊完成了完整的測試。團隊開發了一款名為“test-web-searcher”的 Skill,表面上是完全合規的網頁搜索工具,代碼邏輯完全符合常規開發規範,實則在正常功能流程中植入了遠程代碼執行漏洞。
該 Skill 繞過了靜態引擎與 AI 審核的檢測,在 VirusTotal 扫描仍為待處理狀態時,就實現了無任何安全警告的正常安裝;最終通過 Telegram 遠程發了一句指令,就成功觸發漏洞,在宿主設備上實現了任意命令執行(演示中直接控制系統彈出了計算器)。
CertiK 在研究中明確指出,這些問題並非 OpenClaw 獨有的產品 bug,而是整個 AI 智能體行業的普遍認知誤區:行業普遍把“審核掃描”當成了核心安全防線,卻忽略了真正的安全根基,是運行時的強制隔離與精細化權限管控。這就像蘋果 iOS 生態的安全核心,從來不是 App Store 的嚴格審核,而是系統強制的沙盒機制、精細化的權限管控,讓每個 APP 只能在專屬的“隔離艙”裡運行,無法隨意獲取系統權限。而 OpenClaw 現有的沙盒機制是可選而非強制的,且高度依賴用戶手動配置,絕大多數用戶為了保證 Skill 的功能可用性,會選擇關閉沙盒,最終讓智能體處於“裸奔”狀態,一旦安裝了帶漏洞或惡意代碼的 Skill,就會直接導致災難性後果。
針對此次發現的問題,CertiK 也給出了安全指引:
● 對 OpenClaw 等 AI 智能體開發者而言,須將沙盒隔離設為第三方 Skill 的默認強制配置,精細化 Skill 的權限管控模型,絕不允許第三方代碼默認繼承宿主機的高權限。
● 對普通用戶而言,Skill 市場裡帶有“安全”標籤的 Skill,僅僅代表它未被檢測出風險,不等於絕對安全。在官方將底層的強隔離機制設為默認配置之前,建議把 OpenClaw 部署在不重要的閒置設備或虛擬機中,千萬不要讓它靠近敏感文件、密碼憑證和高價值加密資產。
當前 AI 智能體賽道正處於爆發前夜,生態擴張的速度絕不能跑贏安全建設的腳步。審核掃描只能攔住初級的惡意攻擊,卻永遠成不了高權限智能體的安全邊界。唯有從“追求完美檢測”轉向“默認風險存在的損害遏制”,從運行時底層強制確立隔離邊界,才能真正兜住 AI 智能體的安全底線,讓這場技術變革行穩致遠。