作者： Certik

近期，開源自託管AI智能體平台OpenClaw（圈內俗稱「小龍蝦」）憑藉靈活的可擴展性、自主可控的部署特性迅速走紅，成為個人AI智能體賽道的現象級產品。其生態核心Clawhub作為應用市場，匯集了海量第三方Skill功能插件，能讓智能體一鍵解鎖從網頁搜尋、內容創作，到加密錢包操作、鏈上互動、系統自動化等高階能力，生態規模與用戶量迎來爆發式成長。

但對於這類運行在高權限環境的第三方Skill，平台真正的安全邊界到底在哪裡？

近日，全球最大的Web3安全公司CertiK，發布了針對Skill安全的最新研究。文中指出，目前市場對AI智能體生態的安全邊界存在認知錯位：業界普遍將「Skill掃描」當作核心安全邊界，而這套機制在駭客攻擊面前幾乎形同虛設。

如果把OpenClaw比喻為一台智慧型裝置的作業系統，Skill就是安裝在系統裡的各類APP。與一般消費級APP不同，OpenClaw中的一些Skill運行在高權限環境中，可直接存取本地文件、調用系統工具、連接外部服務、執行宿主環境命令，甚至操作用戶的加密數位資產，一旦出現安全問題，將直接導致敏感資訊外洩、設備被遠端接管、數位資產被盜等嚴重後果。

目前整個產業針對第三方Skill的通用安全解決方案，是「上架前掃描審核」。 OpenClaw的Clawhub也建構了一套三層審核防護體系：融合VirusTotal程式碼掃描、靜態程式碼偵測引擎、AI邏輯一致性偵測，透過風險分級為使用者推送安全彈窗提示，試圖以此守住生態安全。但CertiK的研究與概念驗證攻擊測試證實，這套偵測系統在真實的攻防對抗中存在短板，無法承擔起安全防護的核心重任。

研究首先拆解了現有檢測機制的天然限制：

靜態偵測規則極易被繞過。這套引擎核心靠匹配代碼特徵識別風險，例如將「讀取環境敏感資訊+ 外發網路請求」的組合判定為高風險行為，但攻擊者只需對程式碼做輕微的語法改寫，在完全保留惡意邏輯的前提下，就能輕鬆繞過特徵匹配，如同給危險內容換了一套同義表述，就讓安檢儀徹底失效。

AI審核存在先天偵測盲區。 Clawhub的AI審核核心定位是“邏輯一致性檢測器”，只能揪出“聲明功能與實際行為不符”的明顯惡意代碼，卻對隱藏在正常業務邏輯裡的可利用漏洞束手無策，就像很難從一份看似合規的合同裡，發現藏在條款深處的致命陷阱。

更致命的是，審核流程存在底層設計缺陷：即便VirusTotal的掃描結果仍處於「待處理」狀態，未完成全流程「體檢」的Skill也能直接上架公開，使用者可在無警告的情況下完成安裝，給攻擊者留下了可乘之機。

為了驗證風險的真實危害性，CertiK研究團隊完成了完整的測試。團隊開發了一款名為「test-web-searcher」的Skill，表面上是完全合規的網頁搜尋工具，程式碼邏輯完全符合常規開發規範，但實際上在正常功能流程中植入了遠端程式碼執行漏洞。

該Skill繞過了靜態引擎與AI審核的檢測，在VirusTotal掃描仍為待處理狀態時，就實現了無任何安全警告的正常安裝；最終透過Telegram遠端發了一句指令，就成功觸發漏洞，在宿主設備上實現了任意命令執行（演示中直接控制系統彈出了計算器）。

CertiK在研究中明確指出，這些問題並非OpenClaw獨有的產品bug，而是整個AI智能體產業的普遍認知迷思：業界普遍把「審核掃描」當成了核心安全防線，卻忽略了真正的安全根基，是運行時的強制隔離與精細化權限管控。這就像蘋果iOS生態的安全核心，從來不是App Store的嚴格審核，而是系統強制的沙盒機制、精細化的權限管控，讓每個APP只能在專屬的「隔離艙」裡運行，無法隨意取得系統權限。而OpenClaw現有的沙盒機制是可選而非強制的，且高度依賴用戶手動配置，絕大多數用戶為了保證Skill的功能可用性，都會選擇關閉沙盒，最終讓智能體處於「裸奔」狀態，一旦安裝了帶漏洞或惡意程式碼的Skill，就會直接導致災難性後果。

針對這次發現的問題，CertiK也給了安全指引：

• 對OpenClaw等AI智能體開發者而言，須將沙盒隔離設為第三方Skill的預設強製配置，精細化Skill的權限管控模型，絕不允許第三方程式碼預設繼承宿主機的高權限。
• 對一般用戶而言，Skill市場裡有「安全」標籤的Skill，只代表它未被檢測出風險，不等於絕對安全。在官方將底層的強隔離機制設為預設配置之前，建議將OpenClaw部署在不重要的閒置裝置或虛擬機器中，千萬不要讓它靠近敏感檔案、密碼憑證和高價值加密資產。

目前AI智能體賽道正處於爆發前夕，生態擴張的速度絕對不能跑贏安全建設的腳步。審核掃描只能攔住初級的惡意攻擊，卻永遠成不了高權限智能體的安全邊界。唯有從“追求完美檢測”轉向“默認風險存在的損害遏制”，從運行時底層強制確立隔離邊界，才能真正兜住AI智能體的安全底線，讓這場技術變革行穩致遠。