openclaw-credential-vault adressiert vier Wege der Anmeldedaten-Leckage in KI-Agenten

openclaw-credential-vault ist ein Sicherheitstool, das die Risiken der Anmeldedatenfreigabe in OpenClaw-AI-Agent-Setups adressiert. Das Tool implementiert drei Verteidigungsebenen gegen vier identifizierte Wege der Anmeldedatenfreigabe.

Vier Wege der Anmeldedatenfreigabe

Die Quelle identifiziert diese primären Bedrohungen:

• Direkter Datei-/Umgebungszugriff: Agenten, die Befehle wie cat ~/.env oder echo $GITHUB_TOKEN ausführen, können Anmeldedaten offenlegen, die in Umgebungsvariablen oder Konfigurationsdateien gespeichert sind.
• Kontextfenster-Leckage: Tool-Ausgaben, die Token oder Authentifizierungs-Header enthalten, werden dauerhaft in der Konversationshistorie gespeichert.
• Prompt-Injection-Exfiltration: Bösartige Anweisungen können Agenten dazu verleiten, auf sie zugreifbare Anmeldedaten weiterzuleiten.
• Supply-Chain-Angriffe: Bösartige ClawHub-Skills, die beliebigen Code mit Agentenberechtigungen ausführen.

Die zentrale Erkenntnis: Die ersten drei Wege hängen davon ab, dass Anmeldedaten für den Agentenprozess sichtbar sind. Das Entfernen dieser Sichtbarkeit beseitigt 75 % der Angriffsfläche.

Wie openclaw-credential-vault funktioniert

Das Tool bietet drei Verteidigungsebenen:

Betriebssystemebenen-Isolierung

Ein dedizierter Systembenutzer besitzt verschlüsselte Tresordateien, wobei Dateisystemberechtigungen vom Kernel durchgesetzt werden. Der Agentenprozess kann auf Dateisystemebene nicht auf diese Dateien zugreifen.

Subprozessbezogene Injektion

Anmeldedaten werden von einer abgeschotteten Resolver-Binärdatei entschlüsselt und nur in spezifische Subprozessumgebungen injiziert. Beispielsweise existiert ein GITHUB_TOKEN nur innerhalb des gh-Prozesses und verschwindet, wenn dieser Subprozess beendet wird. Der eigene Prozess des Agenten sieht niemals Klartext-Anmeldedaten.

4-Hook-Ausgabereinigung

Bevor die Tool-Ausgabe den Agenten erreicht, durchsuchen vier unabhängige Ebenen nach Lecks:

• Regex-Musterabgleich für bekannte Formate wie ghp_ und sk_live_
• Hash-basierter Literalabgleich gegen exakt gespeicherte Anmeldedaten
• Umgebungsvariablen-Namenabgleich
• Globale Erkennung bekannter Formate

Technische Implementierung

• Verschlüsselung: AES-256-GCM mit pro Anmeldedaten zufälligen Salts
• Schlüsselableitung: Argon2id mit 64 MiB Speicherkosten, 3 Iterationen
• Kompatibilität: Funktioniert mit jedem CLI-Tool oder API, einschließlich Browser-Login oder Session-Cookies
• BYOT (Bring your own tools) Unterstützung
• Testabdeckung: ~700 Tests über 36 Dateien
• Open Source

Einrichtung und Nutzung

Installation: npm install -g openclaw-credential-vault

Grundlegende Einrichtung: openclaw vault add github --key ghp_xxx

Das Tool adressiert Einschränkungen in SecretRefs (v2026.3.2), die Konfigurationsebenen-Geheimnisse handhaben, aber Betriebssystemebenen-Trennung fehlt und nur OpenClaws eigene Konfigurationsschlüssel abdeckt, nicht beliebige Tools wie gh oder stripe CLI.