В отчёте компании Certik, специализирующейся на кибербезопасности, выявлены существенные уязвимости в платформе для создания агентов искусственного интеллекта с открытым исходным кодом OpenClaw. Исследователи предупреждают, что её упора на «сканирование навыков» недостаточно для защиты пользователей от вредоносных сторонних расширений.
Результаты исследования указывают на то, что модель безопасности платформы слишком сильно зависит от обнаружения и предупреждений, а не от надёжной изоляции во время выполнения, что делает пользователей уязвимыми для компрометации на уровне хоста.
Согласно отчёту, торговая площадка Openclaw Clawhub использует многоуровневый процесс модерации для проверки «навыков», под которыми понимаются сторонние приложения, которые предоставляют агенту ИИ возможности автоматизация системы или операций с криптовалютными кошельками. Этот конвейер включает Virustotal для сканирования известных вредоносных программ и инструмент Static Moderation Engine для выявления подозрительных шаблонов кода. Он также включает в «детектор несоответствий», предназначенный для обнаружения несоответствий между заявленным назначением навыка и его фактическим поведением.
Исследователи Certik выяснили, что статические правила поиска «тревожных сигналов» обходятся с помощью простой переработки кода. Кроме того, уровень проверки ИИ оказался эффективным в выявлении очевидных намерений, но испытывал трудности с обнаружением уязвимостей, скрытых в коде, который не вызывал подозрений.
Одна из наиболее критических уязвимостей, выявленных Certik, связана с обработкой результатов сканирования, ожидающих подтверждения. Навык может оставаться активным и доступным для установки на торговой площадке, даже если результаты Virustotal ещё не получены (процесс растягивается от часов до дней). На практике эти ожидающие подтверждения навыки рассматривались как безобидные, что позволяло устанавливать их без предупреждения пользователя.
Как это удалось выяснить? Исследователи Certik создали демонстрационный навык под названием «test-web-searcher». Он выглядел функциональным и безобидным, но содержал скрытую «уязвимость», позволяющую выполнять произвольные команды на хосте. При запуске через Telegram навык успешно обходил дополнительную песочницу Openclaw и «запускал калькулятор» на компьютере исследователя — классическая демонстрация полной компрометации системы.
На основании этого сделан вывод, что обнаружение угроз никогда не заменит настоящую защиту. В связи с этим в Certik призывают разработчиков Openclaw по умолчанию запускать сторонние навыки в изолированных средах, а не полагаться на дополнительную конфигурацию пользователя. Разработчикам также следует внедрить модель, в которой навыки должны заранее указывать свои конкретные потребности в ресурсах.
Заместитель главного редактора Happy Coin News. Образование: экономист. Второе образование маркетинг. В криптоиндустрии с 2014 года. Неоднократно выступал в качестве эксперта на РБК. Биткоин — это не спекуляции, а свобода. Но, свобода требует личной ответственности.
