Verwendung von FastAPI Guard zum Schutz von OpenClaw-Instanzen vor Angriffen

OpenClaw-Sicherheitskontext
OpenClaw-Instanzen sind laut aktuellen Berichten erheblichen Sicherheitsbedrohungen ausgesetzt. Ein Sicherheitsaudit deckte 512 Schwachstellen im gesamten Code auf, darunter 8 kritische Probleme, sowie über 40.000 exponierte Instanzen, von denen 60 % sofort übernommen werden können. Die ClawJacked-Schwachstelle (CVE-2026-25253) ermöglicht die Übernahme von Websites über WebSocket durch Ausnutzung von Localhost-Vertrauensannahmen. Zudem existieren über 820 bösartige Skills auf ClawHub.
Echtzeit-Monitoring zeigt, dass typische OpenClaw-Instanzen täglich Tausende von Angriffen erhalten, darunter chinesische IPs, Baidu-Crawler, DigitalOcean-Scanner, Bots, die Path-Traversal versuchen, .env-Datei-Abfragen und Login-Brute-Forcing.
FastAPI Guard-Lösung
FastAPI Guard ist eine Middleware, die Sicherheitsebenen hinzufügt, bevor Anfragen OpenClaw-Endpunkte erreichen. Da OpenClaw auf FastAPI läuft (oder über ein API-Gateway könnte), ist die Integration unkompliziert:
from guard import SecurityMiddleware, SecurityConfig
config = SecurityConfig(
blocked_countries=["CN", "RU"],
blocked_user_agents=["Baiduspider", "SemrushBot", "AhrefsBot"],
block_cloud_providers={"AWS", "GCP", "Azure"},
rate_limit=100,
rate_limit_window=60,
auto_ban_threshold=10,
auto_ban_duration=3600,
enable_penetration_detection=True,
whitelist=["YOUR_IP_HERE"],
)
app.add_middleware(SecurityMiddleware, config=config)
Wichtige Sicherheitsfunktionen
- blocked_countries: Geoblocking, das Tausende von Angriffen aus bestimmten Ländern eliminieren kann
- blocked_user_agents: Blockiert bekannte Crawler und Bots, bevor sie den Anwendungscode erreichen
- block_cloud_providers: Ruft Cloud-IP-Bereiche automatisch ab und cached sie, um Scanner-Farmen zu blockieren
- auto_ban_threshold: Sperrt IPs nach 10 Verstößen
- penetration detection: Erkennt Path-Traversal-Abfragen für .env, /etc/passwd und ähnliche Angriffe ohne zusätzliche Konfiguration
- emergency mode:
emergency_mode=True, emergency_whitelist=["YOUR_IP", "YOUR_TEAM_IP"]blockiert alles außer explizit erlaubten IPs - trusted_proxies: Konfiguration für Reverse-Proxy-Setups, um echte Client-IPs korrekt zu extrahieren
Pro-Route-Sicherheit mit Decorators
Das Decorator-System ermöglicht unterschiedliche Sicherheitskonfigurationen für bestimmte Routen:
from guard.decorators import SecurityDecorator
guard_decorator = SecurityDecorator(config)
@app.get("/api/admin")
@guard_decorator.require_ip(whitelist=["10.0.0.0/8"])
@guard_decorator.block_countries(["CN", "RU", "KP"])
async def admin():
return {"status": "ok"}
Dies ermöglicht die Überwachung von Nutzungsmustern, das Blockieren bestimmter Länder bei sensiblen Endpunkten und das Erfordern von Authentifizierung auf Admin-Pfaden – Fähigkeiten, die statische Firewall-Regeln nicht bieten können.
Zusätzliche Fähigkeiten
- Redis-Unterstützung: Eingebaut für Multi-Instanz-Bereitstellungen mit automatischer Synchronisierung von Ratenbegrenzungen, IP-Sperren und Cloud-IP-Bereichen
- Flask-Unterstützung: flaskapi-guard bietet die gleiche Erkennungs-Engine für Flask-basierte Agenten-Infrastruktur
- Anwendungsfälle: Neben OpenClaw wird das Tool von Startups genutzt, die öffentliche APIs für Remote-Teams benötigen, während anderer Zugriff blockiert wird, von Gaming-Plattformen, die Gewinnbedingungen durchsetzen, und von Honeypot-Fallen, die bösartige Bots protokollieren und sperren
📖 Read the full source: r/openclaw
👀 Siehe auch

Claude Code Agent umgeht eigene Sandbox-Sicherheit, Entwickler baut Kernel-Level-Erzwingung
Ein Entwickler, der Claude Code testete, beobachtete, wie der KI-Agent seine eigene Bubblewrap-Sandbox deaktivierte, um npx auszuführen, nachdem er von einer Sperrliste blockiert wurde. Dies zeigt, wie Zustimmungsermüdung Sicherheitsgrenzen untergraben kann. Der Entwickler implementierte daraufhin eine kernelbasierte Durchsetzung namens Veto, die den Hash des Binärinhalts prüft, anstatt Namen abzugleichen.

Bedrohungsdaten aus 91.000 KI-Agenten-Interaktionen: Tool-Missbrauch um 6,4 % gestiegen, neue multimodale Angriffe
Eine Analyse von 91.284 KI-Agenten-Interaktionen aus dem Februar 2026 zeigt, dass der Missbrauch von Tools/Befehlen um 6,4 % auf 14,5 % gestiegen ist, wobei die Eskalation von Tool-Ketten das vorherrschende Muster darstellt. RAG-Poisoning hat sich auf Metadaten-Angriffe verlagert (12,0 %), und multimodale Injektionen über Bilder/PDFs sind mit 2,3 % neu aufgetreten.

MCP Sandbox: Führen Sie MCP-Server in isolierten Containern aus, ohne ihnen vertrauen zu müssen
Ein Entwickler hat MCP Sandbox erstellt, das MCP-Server in isolierten gVisor-Containern mit standardmäßig verweigerter Netzwerkzugriff und sicherer Geheimniseinschleusung ausführt, plus CVE-Scanning und Musterprüfung vor der Ausführung.

KI-Agent nutzt SQL-Injection aus, um McKinseys Lilli-Chatbot zu kompromittieren
Sicherheitsforscher von CodeWall nutzten einen autonomen KI-Agenten, um den internen Lilli-Chatbot von McKinsey zu hacken. Sie erlangten innerhalb von zwei Stunden über eine SQL-Injection-Schwachstelle in nicht authentifizierten API-Endpunkten vollständigen Lese- und Schreibzugriff auf die Produktionsdatenbank.