Das Problem uniformierter Wachen: Warum Agent-Sandboxen Identität brauchen, nicht nur Richtlinien
Das Problem des uniformierten Wachmanns zeigt einen entscheidenden Fehler in KI-Agenten-Sandboxes wie Nemoclaws Openshell: Sicherheitsrichtlinien werden auf Binärdateien angewendet, nicht auf Agenten. Dadurch kann Malware wie der Stamm Shai-Hulud „Live-off-the-Land" betreiben, indem sie dieselben Binärdateien wiederverwendet, die Ihr Agent ausführen darf. Die vorgeschlagene Lösung ist eine Open-Source-Identitätsschicht für Agenten namens ZeroID, die derzeit als Skill auf ClawHub und als Sidecar für out-of-band-Kontrolle verfügbar ist.
Kernproblem: Auf Binärdateien bezogene Richtlinien
Nemoclaws Openshell-Sandbox erzwingt Richtlinien auf Binärebene. Wenn Ihr Agent beispielsweise /usr/bin/curl ausführen darf, kann jeder Prozess mit dieser Binärdatei – einschließlich Malware – sie ausführen. Das bedeutet, dass eine bösartige Nutzlast mithilfe der erlaubten Werkzeuge des Agenten beliebigen Code herunterladen und ausführen kann. Die Sandbox bietet keinen Mechanismus, um zwischen einer legitimen Aktion des Agenten und einer Aktion von Malware zu unterscheiden, die dieselbe Binärdatei verwendet.
Lösung: Auf Agenten basierende Identität
ZeroID verlagert die Sicherheit von binärbezogenen Richtlinien hin zu agentenbezogenen Richtlinien. Jeder Agent erhält eine kryptografische Identität, und Richtlinien werden basierend auf dieser Identität angewendet. Dadurch wird verhindert, dass Malware die für den Agenten erlaubten Binärdateien ausnutzt, da der Malware die Identität des Agenten fehlt. Die Identitätsschicht kann in zwei Modi betrieben werden:
- ClawHub-Skill: Installieren Sie ZeroID als Skill auf ClawHub – keine Infrastrukturänderungen erforderlich.
- Sidecar-Integration: Führen Sie ZeroID als Sidecar-Prozess für out-of-band-Kontrolle aus, der Systemaufrufe abfängt und die Identität vor der Ausführung validiert.
Implementierungsdetails
Laut Quelle ist ZeroID Open Source und lässt sich derzeit in Openclaw integrieren. Das Team lädt die Community ein, es zu testen und bei der Erweiterung der Openclaw-Integration zu helfen. In der Quelle wurden keine Versionsnummern oder Codeausschnitte bereitgestellt, aber die Sidecar-Architektur deutet auf einen leichtgewichtigen Daemon hin, der in die Laufzeitumgebung des Agenten eingreift.
Für wen es gedacht ist
Entwickler, die KI-Codierungsagenten auf Openclaw betreiben und eine stärkere Isolation gegen Malware benötigen, die binäre Sandboxing umgeht.
📖 Read the full source: r/openclaw
👀 Siehe auch
OpenClaw Sicherheitsverletzung: 42.000 betroffene Instanzen
OpenClaw hatte ein erhebliches Sicherheitsversagen, das 42.000 Instanzen mit 341 bösartigen Fähigkeiten offenlegte. Die schnelle Reaktion beinhaltete die Erstellung von AgentVault, einem Sicherheitsproxy.
Axios 1.14.1 kompromittiert mit Malware, zielt auf KI-gestützte Entwicklungs-Workflows ab
Axios Version 1.14.1 wurde in einem Supply-Chain-Angriff kompromittiert, der stillschweigend [email protected] einbindet, einen verschleierten RAT-Dropper. Entwickler, die KI-Coding-Assistenten wie Claude verwenden, sollten sofort ihre Lockfiles und Maschinen auf Infektionen überprüfen.
Lieferkettenangriff nutzt unsichtbare Unicode-Zeichen zur Umgehung der Erkennung
Forscher entdeckten 151 schädliche Pakete, die vom 3. bis 9. März auf GitHub hochgeladen wurden und unsichtbare Unicode-Zeichen verwendeten, um bösartigen Code zu verbergen. Der Angriff zielt auf GitHub-, NPM- und Open-VSX-Repositorys mit Paketen ab, die legitim erscheinen, aber versteckte Nutzlasten enthalten.
Neuer Skill automatisiert OpenClaw-Sicherheitshärtung auf Remote-Servern
Ein Community-Entwickler hat einen Skill veröffentlicht, der KI-Assistenten hilft, OpenClaw-Installationen auf Remote-Servern automatisch abzusichern.