¿Tu "OpenClaw" está funcionando al desnudo? CertiK demuestra: Cómo el Skill con vulnerabilidades de OpenClaw engaña la revisión y toma el control no autorizado de la computadora
Recientemente, la plataforma de agentes de IA de código abierto OpenClaw (apodada "Crayfish" o "小龙虾") ha ganado popularidad rápidamente. Sin embargo, un estudio de CertiK, la mayor empresa de seguridad de Web3, revela graves vulnerabilidades en su ecosistema. Los Skill (extensiones) de terceros, que se ejecutan con altos privilegios y pueden acceder a archivos locales, ejecutar comandos del sistema e incluso manipular activos digitales, representan un riesgo significativo.
El mecanismo de seguridad actual de Clawhub, el mercado de OpenClaw, se basa en un escaneo de código estático y una revisión por IA antes de la publicación. No obstante, la investigación demostró que estas defensas son insuficientes. Los atacantes pueden eludir fácilmente la detección estática modificando ligeramente el código malicioso, y la revisión por IA no puede identificar vulnerabilidades ocultas dentro de lógicas aparentemente legítimas. Además, los Skill pueden publicarse y instalarse antes de que se completen todos los escaneos de VirusTotal, sin advertencias para el usuario.
Para probarlo, CertiK desarrolló un Skill malicioso disfrazado de herramienta de búsqueda web. Superó todos los controles y, una vez instalado, permitió la ejecución remota de comandos en el dispositivo host con una simple instrucción enviada por Telegram.
El problema fundamental es la dependencia excesiva de la revisión previa a la publicación en lugar de implementar un aislamiento estricto en tiempo de ejecución. A diferencia de los ecosistemas seguros como iOS, donde las apps se ejecutan en sandboxes obligatorios, el sandbox de OpenClaw es opcional y la mayoría de los usuarios lo desactivan para una mejor funcionalidad, dejando sus dispositivos expuestos.
CertiK recomienda a los desarrolladores que hagan del sandbox una configuración obligatoria por defecto con un modelo de permisos granular. A los usuarios, se les aconseja tratar a los Skill etiquetados como "seguros" con escepticismo, desplegar OpenClaw en dispositivos no críticos o máquinas virtuales, y mantenerlo alejado de archivos sensibles y activos valiosos hasta que se fortalezcan los mecanismos de seguridad subyacentes. La industria debe pasar de confiar en la detección perfecta a contener el daño asumiendo que el riesgo siempre existe.
marsbit03/17 14:42
