你的“小龙虾”正在裸奔？带漏洞的OpenClaw Skill如何骗过审核 无授权接管电脑

近期，开源自托管AI智能体平台OpenClaw（圈内俗称“小龙虾”）凭借灵活的可扩展性、自主可控的部署特性迅速走红，成为个人AI智能体赛道的现象级产品。其生态核心Clawhub作为应用市场，汇聚了海量第三方Skill功能插件，能让智能体一键解锁从网页搜索、内容创作，到加密钱包操作、链上交互、系统自动化等高阶能力，生态规模与用户量迎来爆发式增长。

但对于这类运行在高权限环境中的第三方Skill，平台真正的安全边界到底在哪里？

近日，全球最大的Web3安全公司CertiK，发布了针对Skill安全的最新研究。文中指出，当前市场对AI智能体生态的安全边界存在认知错位：行业普遍将“Skill扫描”当作核心安全边界，而这套机制在黑客攻击面前几乎形同虚设。

如果把OpenClaw比作一台智能设备的操作系统，Skill就是安装在系统里的各类APP。与普通消费级APP不同，OpenClaw中的一些Skill运行在高权限环境中，可直接访问本地文件、调用系统工具、连接外部服务、执行宿主环境命令，甚至操作用户的加密数字资产，一旦出现安全问题，将直接导致敏感信息泄露、设备被远程接管、数字资产被盗等严重后果。

目前整个行业针对第三方Skill的通用安全解决方案，是“上架前扫描审核”。OpenClaw的Clawhub也搭建了一套三层审核防护体系：融合VirusTotal代码扫描、静态代码检测引擎、AI逻辑一致性检测，通过风险分级给用户推送安全弹窗提示，试图以此守住生态安全。但CertiK的研究与概念验证攻击测试证实，这套检测体系在真实的攻防对抗中存在短板，无法承担起安全防护的核心重任。

研究首先拆解了现有检测机制的天然局限性：

静态检测规则极易被绕过。这套引擎核心靠匹配代码特征识别风险，比如将“读取环境敏感信息 + 外发网络请求”的组合判定为高危行为，但攻击者只需对代码做轻微的语法改写，在完全保留恶意逻辑的前提下，就能轻松绕过特征匹配，如同给危险内容换了一套同义表述，就让安检仪彻底失效。

AI审核存在先天检测盲区。Clawhub的AI审核核心定位是“逻辑一致性检测器”，只能揪出“声明功能与实际行为不符”的明显恶意代码，却对隐藏在正常业务逻辑里的可利用漏洞束手无策，就像很难从一份看似合规的合同里，发现藏在条款深处的致命陷阱。

更致命的是，审核流程存在底层设计缺陷：即便VirusTotal的扫描结果还处于“待处理”状态，未完成全流程“体检”的Skill也能直接上架公开，用户可在无警告的情况下完成安装，给攻击者留下了可乘之机。

为了验证风险的真实危害性，CertiK研究团队完成了完整的测试。团队开发了一款名为“test-web-searcher”的Skill，表面上是完全合规的网页搜索工具，代码逻辑完全符合常规开发规范，实则在正常功能流程中植入了远程代码执行漏洞。

该Skill绕过了静态引擎与AI审核的检测，在VirusTotal扫描仍为待处理状态时，就实现了无任何安全警告的正常安装；最终通过Telegram远程发了一句指令，就成功触发漏洞，在宿主设备上实现了任意命令执行（演示中直接控制系统弹出了计算器）。

CertiK在研究中明确指出，这些问题并非OpenClaw独有的产品bug，而是整个AI智能体行业的普遍认知误区：行业普遍把“审核扫描”当成了核心安全防线，却忽略了真正的安全根基，是运行时的强制隔离与精细化权限管控。这就像苹果iOS生态的安全核心，从来不是App Store的严格审核，而是系统强制的沙盒机制、精细化的权限管控，让每个APP只能在专属的“隔离舱”里运行，无法随意获取系统权限。而OpenClaw现有的沙盒机制是可选而非强制的，且高度依赖用户手动配置，绝大多数用户为了保证Skill的功能可用性，都会选择关闭沙盒，最终让智能体处于“裸奔”状态，一旦安装了带漏洞或恶意代码的Skill，就会直接导致灾难性后果。

针对此次发现的问题，CertiK也给出了安全指引：

• 对OpenClaw等AI智能体开发者而言，须将沙盒隔离设为第三方Skill的默认强制配置，精细化Skill的权限管控模型，绝不允许第三方代码默认继承宿主机的高权限。

• 对普通用户而言，Skill市场里带有“安全”标签的Skill，仅仅代表它未被检测出风险，不等于绝对安全。在官方将底层的强隔离机制设为默认配置之前，建议把OpenClaw部署在不重要的闲置设备或虚拟机中，千万不要让它靠近敏感文件、密码凭证和高价值加密资产。

当前AI智能体赛道正处于爆发前夜，生态扩张的速度绝不能跑赢安全建设的脚步。审核扫描只能拦住初级的恶意攻击，却永远成不了高权限智能体的安全边界。唯有从“追求完美检测”转向“默认风险存在的损害遏制”，从运行时底层强制确立隔离边界，才能真正兜住AI智能体的安全底线，让这场技术变革行稳致远。

研究原文：https://x.com/hhj4ck/status/2033527312042315816?s=20

https://mp.weixin.qq.com/s/Wxrzt7bAo86h3bOKkx6uoA