Das Problem uniformierter Wachen: Warum Agent-Sandboxen Identität brauchen, nicht nur Richtlinien

Das Problem des uniformierten Wachmanns zeigt einen entscheidenden Fehler in KI-Agenten-Sandboxes wie Nemoclaws Openshell: Sicherheitsrichtlinien werden auf Binärdateien angewendet, nicht auf Agenten. Dadurch kann Malware wie der Stamm Shai-Hulud „Live-off-the-Land" betreiben, indem sie dieselben Binärdateien wiederverwendet, die Ihr Agent ausführen darf. Die vorgeschlagene Lösung ist eine Open-Source-Identitätsschicht für Agenten namens ZeroID, die derzeit als Skill auf ClawHub und als Sidecar für out-of-band-Kontrolle verfügbar ist.
Kernproblem: Auf Binärdateien bezogene Richtlinien
Nemoclaws Openshell-Sandbox erzwingt Richtlinien auf Binärebene. Wenn Ihr Agent beispielsweise /usr/bin/curl ausführen darf, kann jeder Prozess mit dieser Binärdatei – einschließlich Malware – sie ausführen. Das bedeutet, dass eine bösartige Nutzlast mithilfe der erlaubten Werkzeuge des Agenten beliebigen Code herunterladen und ausführen kann. Die Sandbox bietet keinen Mechanismus, um zwischen einer legitimen Aktion des Agenten und einer Aktion von Malware zu unterscheiden, die dieselbe Binärdatei verwendet.
Lösung: Auf Agenten basierende Identität
ZeroID verlagert die Sicherheit von binärbezogenen Richtlinien hin zu agentenbezogenen Richtlinien. Jeder Agent erhält eine kryptografische Identität, und Richtlinien werden basierend auf dieser Identität angewendet. Dadurch wird verhindert, dass Malware die für den Agenten erlaubten Binärdateien ausnutzt, da der Malware die Identität des Agenten fehlt. Die Identitätsschicht kann in zwei Modi betrieben werden:
- ClawHub-Skill: Installieren Sie ZeroID als Skill auf ClawHub – keine Infrastrukturänderungen erforderlich.
- Sidecar-Integration: Führen Sie ZeroID als Sidecar-Prozess für out-of-band-Kontrolle aus, der Systemaufrufe abfängt und die Identität vor der Ausführung validiert.
Implementierungsdetails
Laut Quelle ist ZeroID Open Source und lässt sich derzeit in Openclaw integrieren. Das Team lädt die Community ein, es zu testen und bei der Erweiterung der Openclaw-Integration zu helfen. In der Quelle wurden keine Versionsnummern oder Codeausschnitte bereitgestellt, aber die Sidecar-Architektur deutet auf einen leichtgewichtigen Daemon hin, der in die Laufzeitumgebung des Agenten eingreift.
Für wen es gedacht ist
Entwickler, die KI-Codierungsagenten auf Openclaw betreiben und eine stärkere Isolation gegen Malware benötigen, die binäre Sandboxing umgeht.
📖 Read the full source: r/openclaw
👀 Siehe auch

OpenClaws externer Inhalts-Wrapper zur Abwehr von Prompt-Injektionen
OpenClaw verwendet einen externen Inhalts-Wrapper, der automatisch Web-Suchergebnisse, API-Antworten und ähnliche Inhalte mit Warnungen kennzeichnet, dass sie nicht vertrauenswürdig sind. Dies bereitet das LLM darauf vor, skeptisch zu sein und böswillige Anweisungen eher abzulehnen.

Erkundung der Risiken der Nutzung eines Google-Kontos mit Gemini-Cli und Gemini Pro-Abonnement
Gemini-Cli und Ihr Gemini Pro-Abonnement könnten einige Risiken für Ihr Google-Konto darstellen. Hier erfahren Sie, was Sie über mögliche Schwachstellen im Umgang mit diesen KI-Tools wissen müssen.

Skill Analyzer jetzt auf ClawHub verfügbar mit Ein-Kommando-Installation
Der OpenClaw Skill Analyzer Security-Scanner ist jetzt auf ClawHub mit einer Einzelbefehl-Installation verfügbar. Das Tool scannt Skill-Ordner nach schädlichen Mustern wie Prompt-Injection und Credential-Diebstahl und beinhaltet Docker-Sandbox-Unterstützung für sichere Ausführung.

Sichere Administrator-Genehmigungsablauf für Gruppen-Chat-Assistenten gegen Prompt-Injection
Ein praktischer Ansatz zur Sicherung von LLM-Assistenten in gemeinsamen Gruppenchats: Pausieren von VM-, OAuth- und Code-Ausführungs-Tools bis zur Admin-Freigabe über einen zeitgesteuerten Link.