OpenClaw-Sicherheitsansatz unter Verwendung von LLM-Router und zrok Private Sharing

Ein Entwickler hat seinen Ansatz detailliert beschrieben, OpenClaw und einen LLM-Router mit einem einzigen Befehl in einer VM+Kubernetes-Umgebung auszuführen, wobei der Fokus auf der Bewältigung von Sicherheitsbedenken rund um "Little Lobster"-Agentensysteme liegt.
Sicherheitsproblem und erster Ansatz
Das Projekt entstand aus Bedenken hinsichtlich der Sicherheit von OpenClaw-ähnlichen Agentensystemen. Der Entwickler stellt fest, dass Sandboxing allein das grundlegende Sicherheitsproblem nicht löst: Solange der Agent Ausführungsberechtigungen hat, könnte eine einfache Skill-Injection etwas wie printenv aufrufen und alle injizierten API-Schlüssel offenlegen. Das Entfernen von Ausführungsberechtigungen würde etwa 90 % der Funktionalität eliminieren, und ohne das Injizieren eines LLM-API-Schlüssels kann der Agent das Modell überhaupt nicht aufrufen.
LLM-Router-Lösung
Der Entwickler erwog zunächst die Verwendung eines Service Mesh mit einem Sidecar zur Handhabung der Authentifizierungsheader-Injection, doch OpenClaws HTTPS-Erzwingung machte dies unpraktisch. Stattdessen wechselte er zur Verwendung eines LLM-Routers, der die API-Schlüssel-Injection auf Router-Ebene ermöglicht. Dieser Ansatz bietet den zusätzlichen Vorteil, dass Benutzer Konversationsprotokolle einsehen und eigene Überwachungs-Plugins erstellen können, wie z. B. die Verwendung von Claude Code, um den Agenten im Auge zu behalten.
Fernzugriff über zrok
Eine weitere Herausforderung war die Integration mit Kommunikations-Apps wie Slack oder Telegram, die das Injizieren von Tokens für den Fernzugriff erfordert. Die Lösung nutzt zrok Private Sharing, wodurch ein Remote-Host über privates Teilen auf den Admin-Chat des Agenten zugreifen kann, ohne auf Messaging-Apps angewiesen zu sein. Der Entwickler räumt ein, dass dies einige Fähigkeiten einschränkt – es ist ein Kompromiss. Vollständige Unterstützung für Kommunikations-Apps unter diesem Modell würde erfordern, dass das Gateway und der Agent in separaten Containern laufen, was noch nicht implementiert wurde.
Projektdetails
Dem Projekt wurde der chinesische Name "Xiao Long Xia" (小笼虾) gegeben, wobei das Zeichen "笼" von "xiaolongbao" (Suppenknödel) stammt. Die Implementierung führt OpenClaw und den LLM-Router mit einem einzigen Befehl in einer VM+Kubernetes-Umgebung aus.
📖 Read the full source: r/openclaw
👀 Siehe auch

Open-Source-Spielplatz für Red-Teaming von KI-Agenten mit veröffentlichten Exploits
Fabraix hat eine Live-Umgebung als Open Source veröffentlicht, um KI-Agenten-Abwehrmaßnahmen durch adversarische Herausforderungen zu testen. Jede Herausforderung setzt einen Live-Agenten mit echten Werkzeugen und veröffentlichten Systemprompts ein, wobei gewinnende Gesprächsprotokolle und Schutzmaßnahmen-Logs öffentlich dokumentiert werden.

MCP Sandbox: Führen Sie MCP-Server in isolierten Containern aus, ohne ihnen vertrauen zu müssen
Ein Entwickler hat MCP Sandbox erstellt, das MCP-Server in isolierten gVisor-Containern mit standardmäßig verweigerter Netzwerkzugriff und sicherer Geheimniseinschleusung ausführt, plus CVE-Scanning und Musterprüfung vor der Ausführung.

Konfigurieren von OpenClaw für verschlüsselte LLM-Inferenz mit TEE-Enklaven
Ein Entwickler teilt mit, wie er OpenClaw konfiguriert hat, um die AMD SEV-SNP Trusted Execution Environments von Onera für Ende-zu-Ende-verschlüsselte LLM-Inferenz zu nutzen, einschließlich Konfigurationsbeispielen und technischen Abwägungen.
Google Threat Intelligence Group berichtet über ersten KI-entwickelten Zero-Day-Exploit, der 2FA umgeht
Die Google Threat Intelligence Group hat den ersten vollständig KI-entwickelten Zero-Day-Exploit entdeckt, der die Zwei-Faktor-Authentifizierung (2FA) in einem beliebten Open-Source-Web-basierten Systemadministrationstool umgeht, zusammen mit selbstmorphierenden Malware und Gemini-gestützten Backdoors.