Die Zero-Trust OpenClaw-Architektur fügt Vorab-Autorisierung und Nachausführungsverifizierung hinzu.

Eine Open-Source-Sicherheitsarchitektur für OpenClaw adressiert das Problem, dass Agenten über umgebende Betriebssystemberechtigungen verfügen, ohne dass ihre Aktionen zuverlässig verifiziert werden. Die Lösung implementiert zwei harte Kontrollpunkte in der Ausführungsschleife.
Vorausführungs-Gate
Ein lokaler Rust-Daemon namens predicate-authorityd fängt jeden Tool-Aufruf vor der Ausführung ab und prüft ihn gegen eine deklarative Richtlinie. Dies bietet einen Sub-Millisekunden-Autorisierungs-Overhead mit p99 <25ms. Das System ist fail-closed: Wenn der Sidecar ausfällt, wird alles verweigert. Wenn ein Agent beispielsweise versucht, in /etc/passwd zu schreiben, wird er hart blockiert und das Host-Betriebssystem wird nie berührt.
Nachausführungsverifizierung
Anstatt nach Browser-Aktionen eine LLM zu fragen „hat es funktioniert?“, führt das System deterministische Assertions aus wie:
url_contains("news.ycombinator.com")→ PASSelement_exists("titleline")→ PASSdom_contains("Show")→ PASS
Das .eventually()-Muster behandelt SPA-Hydration ohne spröde sleep()-Aufrufe.
Tracing und Token-Einsparungen
Jeder Schritt – Autorisierungsentscheidungen, DOM-Snapshots, Verifizierungsergebnisse – wird in einen Trace (lokal oder Cloud) gepusht. Sie können den genauen Zustand des Agenten schrittweise in einem Web-Portal wiedergeben, was nützlich ist zum Debuggen fehlgeschlagener Assertions oder zur Überprüfung, was der Agent tatsächlich gesehen hat (Screenshots inklusive).
Die predicate-snapshot-Funktion komprimiert den DOM auf nur handlungsrelevante Elemente und erreicht 90–99 % Token-Einsparung. In einer Demo zum Extrahieren von Hacker-News-Beiträgen wurden ~1200 Token pro Schritt verwendet statt 50k+ für rohes HTML.
Anwendungsfälle und zukünftige Entwicklung
Diese Architektur ist produktionsbereit für Aufgaben wie Preisüberwachung auf E-Commerce-Seiten (Amazon, eBay), Wettbewerber-Tracking, Lead-Generierung aus Verzeichnissen oder jegliches Web-Scraping, bei dem Garantien benötigt werden, dass der Agent tatsächlich die richtigen Daten extrahiert hat.
Das Vorausführungs-Gate funktioniert bereits für jeden Agenten (es sind nur HTTP-Aufrufe an den Sidecar). Zukünftige Entwicklung umfasst die Erweiterung der Nachausführungsverifizierung auf Nicht-Web-Agenten – Dateisystemzustands-Assertions, API-Antwortvalidierung, Datenbankprüfungen – unter Verwendung des gleichen deterministischen Ansatzes ohne LLM-als-Richter.
Repositories
- OpenClaw-Sicherheits-Plugin: https://github.com/PredicateSystems/predicate-claw (mit GIF-Demo)
- OpenClaw-Snapshot-Funktion: https://github.com/PredicateSystems/openclaw-predicate-skill
📖 Read the full source: r/clawdbot
👀 Siehe auch

SCION: Die sichere Schweizer Alternative zum BGP-Routingprotokoll
SCION (Scalability, Control, and Isolation On Next-Generation Networks) ist eine Internet-Routing-Architektur, die an der ETH Zürich entwickelt wurde und die Grundlage von BGP durch integrierte Sicherheit und Multi-Path-Routing ersetzt. Im Gegensatz zu BGP-Patches wie RPKI und BGPsec etabliert SCION Dutzende oder Hunderte paralleler Pfade mit Millisekunden-Umleitung bei Ausfällen.

Anthropic enthüllt industrielle Claude-KI-Datenextraktion durch chinesische Labore
Anthropic bestätigte, dass chinesische KI-Labore über 24.000 betrügerische Konten nutzten, um 16 Millionen Austausche von Claude abzugreifen, um Sicherheitsvorkehrungen und Logikstrukturen für militärische und Überwachungssysteme zu extrahieren.

LiteLLM v1.82.8 Kompromittierung nutzt .pth-Datei für persistente Ausführung
LiteLLM v1.82.8 wurde auf PyPI kompromittiert und enthält eine .pth-Datei, die bei jedem Start eines Python-Prozesses beliebigen Code ausführt, nicht nur wenn die Bibliothek importiert wird. Die Nutzlast wird auch dann ausgeführt, wenn LiteLLM als transitive Abhängigkeit installiert und nie direkt genutzt wird.

Claude Code findet 23 Jahre alte Linux-Kernel-Sicherheitslücke
Der Anthropic-Forscher Nicholas Carlini nutzte Claude Code, um mehrere remote ausnutzbare Heap-Pufferüberläufe im Linux-Kernel zu entdecken, darunter einen, der 23 Jahre lang verborgen geblieben war. Die KI fand die Fehler mit minimaler Aufsicht, indem sie den gesamten Kernel-Quellbaum durchsuchte.