Die Zero-Trust OpenClaw-Architektur fügt Vorab-Autorisierung und Nachausführungsverifizierung hinzu.

✍️ OpenClawRadar📅 Veröffentlicht: 7. März 2026🔗 Source
Die Zero-Trust OpenClaw-Architektur fügt Vorab-Autorisierung und Nachausführungsverifizierung hinzu.
Ad

Eine Open-Source-Sicherheitsarchitektur für OpenClaw adressiert das Problem, dass Agenten über umgebende Betriebssystemberechtigungen verfügen, ohne dass ihre Aktionen zuverlässig verifiziert werden. Die Lösung implementiert zwei harte Kontrollpunkte in der Ausführungsschleife.

Vorausführungs-Gate

Ein lokaler Rust-Daemon namens predicate-authorityd fängt jeden Tool-Aufruf vor der Ausführung ab und prüft ihn gegen eine deklarative Richtlinie. Dies bietet einen Sub-Millisekunden-Autorisierungs-Overhead mit p99 <25ms. Das System ist fail-closed: Wenn der Sidecar ausfällt, wird alles verweigert. Wenn ein Agent beispielsweise versucht, in /etc/passwd zu schreiben, wird er hart blockiert und das Host-Betriebssystem wird nie berührt.

Nachausführungsverifizierung

Anstatt nach Browser-Aktionen eine LLM zu fragen „hat es funktioniert?“, führt das System deterministische Assertions aus wie:

  • url_contains("news.ycombinator.com") → PASS
  • element_exists("titleline") → PASS
  • dom_contains("Show") → PASS

Das .eventually()-Muster behandelt SPA-Hydration ohne spröde sleep()-Aufrufe.

Tracing und Token-Einsparungen

Jeder Schritt – Autorisierungsentscheidungen, DOM-Snapshots, Verifizierungsergebnisse – wird in einen Trace (lokal oder Cloud) gepusht. Sie können den genauen Zustand des Agenten schrittweise in einem Web-Portal wiedergeben, was nützlich ist zum Debuggen fehlgeschlagener Assertions oder zur Überprüfung, was der Agent tatsächlich gesehen hat (Screenshots inklusive).

Die predicate-snapshot-Funktion komprimiert den DOM auf nur handlungsrelevante Elemente und erreicht 90–99 % Token-Einsparung. In einer Demo zum Extrahieren von Hacker-News-Beiträgen wurden ~1200 Token pro Schritt verwendet statt 50k+ für rohes HTML.

Ad

Anwendungsfälle und zukünftige Entwicklung

Diese Architektur ist produktionsbereit für Aufgaben wie Preisüberwachung auf E-Commerce-Seiten (Amazon, eBay), Wettbewerber-Tracking, Lead-Generierung aus Verzeichnissen oder jegliches Web-Scraping, bei dem Garantien benötigt werden, dass der Agent tatsächlich die richtigen Daten extrahiert hat.

Das Vorausführungs-Gate funktioniert bereits für jeden Agenten (es sind nur HTTP-Aufrufe an den Sidecar). Zukünftige Entwicklung umfasst die Erweiterung der Nachausführungsverifizierung auf Nicht-Web-Agenten – Dateisystemzustands-Assertions, API-Antwortvalidierung, Datenbankprüfungen – unter Verwendung des gleichen deterministischen Ansatzes ohne LLM-als-Richter.

Repositories

📖 Read the full source: r/clawdbot

Ad

👀 Siehe auch

SCION: Die sichere Schweizer Alternative zum BGP-Routingprotokoll
Sicherheit

SCION: Die sichere Schweizer Alternative zum BGP-Routingprotokoll

SCION (Scalability, Control, and Isolation On Next-Generation Networks) ist eine Internet-Routing-Architektur, die an der ETH Zürich entwickelt wurde und die Grundlage von BGP durch integrierte Sicherheit und Multi-Path-Routing ersetzt. Im Gegensatz zu BGP-Patches wie RPKI und BGPsec etabliert SCION Dutzende oder Hunderte paralleler Pfade mit Millisekunden-Umleitung bei Ausfällen.

OpenClawRadar
Anthropic enthüllt industrielle Claude-KI-Datenextraktion durch chinesische Labore
Sicherheit

Anthropic enthüllt industrielle Claude-KI-Datenextraktion durch chinesische Labore

Anthropic bestätigte, dass chinesische KI-Labore über 24.000 betrügerische Konten nutzten, um 16 Millionen Austausche von Claude abzugreifen, um Sicherheitsvorkehrungen und Logikstrukturen für militärische und Überwachungssysteme zu extrahieren.

OpenClawRadar
LiteLLM v1.82.8 Kompromittierung nutzt .pth-Datei für persistente Ausführung
Sicherheit

LiteLLM v1.82.8 Kompromittierung nutzt .pth-Datei für persistente Ausführung

LiteLLM v1.82.8 wurde auf PyPI kompromittiert und enthält eine .pth-Datei, die bei jedem Start eines Python-Prozesses beliebigen Code ausführt, nicht nur wenn die Bibliothek importiert wird. Die Nutzlast wird auch dann ausgeführt, wenn LiteLLM als transitive Abhängigkeit installiert und nie direkt genutzt wird.

OpenClawRadar
Claude Code findet 23 Jahre alte Linux-Kernel-Sicherheitslücke
Sicherheit

Claude Code findet 23 Jahre alte Linux-Kernel-Sicherheitslücke

Der Anthropic-Forscher Nicholas Carlini nutzte Claude Code, um mehrere remote ausnutzbare Heap-Pufferüberläufe im Linux-Kernel zu entdecken, darunter einen, der 23 Jahre lang verborgen geblieben war. Die KI fand die Fehler mit minimaler Aufsicht, indem sie den gesamten Kernel-Quellbaum durchsuchte.

OpenClawRadar