Récemment, la plateforme open source d'agents IA auto-hébergés OpenClaw (surnommée "Crawfish" dans le milieu) a connu un essor rapide grâce à sa flexibilité et à ses caractéristiques de déploiement autonome, devenant un produit phare dans le domaine des agents IA personnels. Son écosystème central, Clawhub, qui sert de marché d'applications, regroupe un vaste éventail de plugins de fonctionnalités Skill tiers, permettant aux agents de débloquer en un clic des capacités avancées, allant de la recherche web et de la création de contenu à la manipulation de portefeuilles cryptographiques, aux interactions on-chain et à l'automatisation système, entraînant une croissance explosive de la taille de l'écosystème et du nombre d'utilisateurs.
Mais pour ces compétences Skill tierces fonctionnant dans des environnements à haut niveau de privilèges, où se trouve réellement la frontière de sécurité de la plateforme ?
Récemment, CertiK, la plus grande société de sécurité Web3 au monde, a publié de nouvelles recherches sur la sécurité des Skills. L'article souligne qu'il existe actuellement un décalage dans la perception des limites de sécurité de l'écosystème des agents IA : l'industrie considère généralement le "scanning des Skills" comme la frontière de sécurité centrale, mais ce mécanisme est presque inefficace face aux attaques de pirates.
Si l'on compare OpenClaw au système d'exploitation d'un appareil intelligent, les Skills sont les différentes applications installées sur le système. Contrairement aux applications grand public classiques, certaines Skills d'OpenClaw s'exécutent dans des environnements à privilèges élevés, pouvant accéder directement aux fichiers locaux, appeler des outils système, se connecter à des services externes, exécuter des commandes dans l'environnement hôte, et même manipuler les actifs numériques cryptés de l'utilisateur. En cas de problème de sécurité, cela peut entraîner de graves conséquences telles que la fuite d'informations sensibles, la prise de contrôle à distance de l'appareil ou le vol d'actifs numériques.
Actuellement, la solution de sécurité générale adoptée par l'industrie pour les Skills tierces est l'"audit et scan avant la mise en ligne". Le Clawhub d'OpenClaw a également mis en place un système de protection en trois couches pour l'audit : intégration du scan de code VirusTotal, un moteur de détection statique de code et une détection IA de la cohérence logique. Il tente de préserver la sécurité de l'écosystème en classant les risques et en envoyant des alertes de sécurité aux utilisateurs. Cependant, les recherches et les tests d'attaque POC de CertiK confirment que ce système de détection présente des lacunes dans un scénario réel de confrontation attaque-défense et ne peut assumer la responsabilité centrale de la protection.
La recherche décompose d'abord les limitations inhérentes aux mécanismes de détection existants :
Les règles de détection statique sont extrêmement faciles à contourner. Le cœur de ce moteur repose sur la correspondance des caractéristiques du code pour identifier les risques, par exemple en qualifiant de comportement à haut risque la combinaison "lecture d'informations sensibles de l'environnement + requête réseau sortante". Mais un attaquant n'a besoin que de modifier légèrement la syntaxe du code, en conservant pleinement la logique malveillante, pour contourner facilement la correspondance des caractéristiques, comme s'il donnait un synonyme au contenu dangereux, rendant ainsi le scanner de sécurité totalement inefficace.
L'audit IA présente des angles morts de détection congénitaux. L'audit IA de Clawhub est principalement conçu comme un "détecteur de cohérence logique", capable uniquement de dénicher les codes malveillants évidents où "la fonction déclarée ne correspond pas au comportement réel", mais il est impuissant face aux vulnérabilités exploitables cachées dans une logique métier normale, tout comme il est difficile de trouver un piège mortel caché au fond des clauses d'un contrat en apparence conforme.
Plus grave encore, le processus d'audit présente un défaut de conception fondamental : même si les résultats du scan VirusTotal sont encore en attente de traitement, une Skill n'ayant pas terminé le "check-up" complet peut être directement mise en ligne et publiquement disponible. Les utilisateurs peuvent l'installer sans aucun avertissement, laissant une opportunité aux attaquants.
Pour vérifier le préjudice réel du risque, l'équipe de recherche de CertiK a mené des tests complets. L'équipe a développé une Skill nommée "test-web-searcher", qui en surface est un outil de recherche web entièrement conforme, dont la logique du code respecte pleinement les normes de développement conventionnelles, mais qui en réalité implante une vulnérabilité d'exécution de code à distance dans le flux fonctionnel normal.
Cette Skill a contourné la détection du moteur statique et de l'audit IA, et a pu être installée normalement sans aucun avertissement de sécurité alors que le scan VirusTotal était encore en attente ; finalement, en envoyant une commande à distance via Telegram, la vulnérabilité a été déclenchée avec succès, permettant l'exécution de commandes arbitraires sur l'appareil hôte (dans la démonstration, le système a été contrôlé pour ouvrir directement la calculatrice).
CertiK a clairement indiqué dans sa recherche que ces problèmes ne sont pas des bogues propres au produit OpenClaw, mais une erreur de perception courante dans toute l'industrie des agents IA : l'industrie considère généralement l'"audit et le scan" comme la ligne de défense sécurité centrale, mais néglige le véritable fondement de la sécurité, qui est l'isolation au moment de l'exécution et le contrôle granulaire des permissions. C'est comme si la sécurité centrale de l'écosystème iOS d'Apple n'a jamais été l'audit strict de l'App Store, mais le mécanisme obligatoire de sandboxing du système et le contrôle granulaire des permissions, permettant à chaque application de s'exécuter uniquement dans son "conteneur d'isolation" dédié, sans pouvoir obtenir arbitrairement les permissions système. Or, le mécanisme de sandboxing existant d'OpenClaw est optionnel et non obligatoire, et dépend fortement d'une configuration manuelle par l'utilisateur. La grande majorité des utilisateurs, pour garantir la fonctionnalité des Skills, choisissent de désactiver le sandbox, laissant finalement l'agent IA dans un état "nu". Une fois une Skill vulnérable ou malveillante installée, cela entraîne directement des conséquences désastreuses.
Face aux problèmes identifiés, CertiK a également fourni des directives de sécurité :
● Pour les développeurs d'agents IA comme OpenClaw, il est impératif de définir l'isolation par sandbox comme configuration par défaut obligatoire pour les Skills tierces, d'affiner le modèle de contrôle des permissions des Skills, et de ne jamais autoriser le code tiers à hériter par défaut des privilèges élevés de la machine hôte.
● Pour les utilisateurs ordinaires, une Skill sur le marché portant une étiquette "sécurisée" signifie seulement qu'aucun risque n'a été détecté, ce qui n'équivaut pas à une sécurité absolue. Avant que les mécanismes d'isolation renforcée sous-jacents ne soient définis comme configuration par défaut par les développeurs officiels, il est recommandé de déployer OpenClaw sur des appareils inutilisés non critiques ou dans une machine virtuelle, et de ne surtout pas le laisser approcher des fichiers sensibles, des identifiants de connexion ou des actifs cryptographiques de haute valeur.
Le domaine des agents IA est actuellement à l'aube d'une explosion, et la vitesse d'expansion de l'écosystème ne doit pas devancer le rythme de la construction de la sécurité. L'audit et le scan ne peuvent bloquer que les attaques malveillantes basiques et ne deviendront jamais la frontière de sécurité pour les agents IA à haut niveau de privilèges. Ce n'est qu'en passant de la "recherche de la détection parfaite" à l'"endiguement des dommages en supposant le risque existant par défaut", et en établissant fermement une frontière d'isolation au niveau de l'exécution, que l'on pourra vraiment assurer la ligne de base de sécurité des agents IA et permettre à cette révolution technologique d'avancer stablement et loin.
Article de recherche original :https://x.com/hhj4ck/status/2033527312042315816?s=20
https://mp.weixin.qq.com/s/Wxrzt7bAo86h3bOKkx6 UoA
