Modelo de Seguridad de NanoClaw para Agentes de IA: Aislamiento de Contenedores y Código Mínimo

✍️ OpenClawRadar📅 Publicado: 28 de febrero de 2026🔗 Source
Modelo de Seguridad de NanoClaw para Agentes de IA: Aislamiento de Contenedores y Código Mínimo
Ad

Arquitectura de Seguridad de NanoClaw para Agentes de IA No Confiables

El blog de NanoClaw argumenta que los agentes de IA deben tratarse como no confiables y potencialmente maliciosos, abogando por un confinamiento arquitectónico en lugar de verificaciones de permisos a nivel de aplicación. El sistema se basa en el principio de que los agentes se comportarán mal y se enfoca en limitar el daño cuando lo hagan.

Aislamiento de Contenedores como Seguridad Central

NanoClaw ejecuta cada agente en su propio contenedor usando Docker o Apple Container en macOS. Estos contenedores son efímeros: se crean nuevos por cada invocación y se destruyen después. Los agentes se ejecutan como usuarios sin privilegios y solo pueden acceder a directorios montados explícitamente. Esto contrasta con el enfoque predeterminado de OpenClaw, donde los agentes se ejecutan directamente en la máquina host con un modo de sandbox de Docker opcional que la mayoría de los usuarios nunca habilita.

El límite del contenedor proporciona seguridad hermética aplicada por el sistema operativo, evitando que los agentes escapen independientemente de la configuración. Cada agente obtiene su propio contenedor, sistema de archivos e historial de sesiones de Claude, evitando fugas de información entre agentes que deben acceder a datos diferentes.

Ad

Lista de Montaje Permitida y Protecciones Predeterminadas

Una lista de montaje permitida en ~/.config/nanoclaw/mount-allowlist.json actúa como defensa en profundidad, evitando que los usuarios monten accidentalmente rutas sensibles. Directorios sensibles como .ssh, .gnupg, .aws, .env, private_key y credentials están bloqueados por defecto. La lista permitida reside fuera del directorio del proyecto para que los agentes comprometidos no puedan modificar sus propios permisos.

El código de la aplicación host se monta como solo lectura, asegurando que nada de lo que haga un agente pueda persistir después de la destrucción del contenedor. Los grupos no principales no son confiables por defecto, evitando mensajes entre grupos, programación de tareas o visualización de datos para proteger contra inyección de comandos desde miembros del grupo.

Base de Código Mínima y Revisable

NanoClaw mantiene una base de código deliberadamente mínima de un proceso y un puñado de archivos, contrastando con las aproximadamente 400,000 líneas de código, 53 archivos de configuración y más de 70 dependencias de OpenClaw. El sistema depende en gran medida del SDK de Agentes de Anthropic para la gestión de sesiones, compactación de memoria y otras funcionalidades, en lugar de reinventar componentes.

Este diseño permite que un desarrollador competente revise toda la base de código en una tarde. Las pautas de contribución aceptan solo correcciones de errores, correcciones de seguridad y simplificaciones. Las nuevas funcionalidades llegan a través de habilidades: instrucciones con implementaciones de referencia completamente funcionales que los agentes de codificación fusionan en las bases de código después de la revisión.

Cada instalación termina siendo unos pocos miles de líneas de código adaptadas a las necesidades específicas del propietario, evitando la complejidad donde normalmente se esconden las vulnerabilidades.

📖 Read the full source: HN LLM Tools

Ad

👀 Ver también

OpenClaw Parchea una Escalación de Privilegios Crítica en la Ruta /pair Approve
Seguridad

OpenClaw Parchea una Escalación de Privilegios Crítica en la Ruta /pair Approve

OpenClaw 2026.3.28 corrige una vulnerabilidad de seguridad crítica (GHSA-hc5h-pmr3-3497) donde el comando /pair approve permitía a usuarios con privilegios de emparejamiento aprobar solicitudes de dispositivos para alcances más amplios, incluido el acceso de administrador. Las versiones afectadas son <= 2026.3.24.

OpenClawRadar
🦀
Seguridad

Seguridad de Agentes de IA: El Presupuesto de Tokens Determina el Riesgo de Exfiltración de Datos

Un desarrollador probó agentes de IA conectados a Gmail: los modelos frontera detectaron phishing, el de gama media fue inestable, los modelos baratos reenviaron correos maliciosos silenciosamente. Las protecciones arquitectónicas (sandboxing, permisos) no detuvieron ningún intento.

OpenClawRadar
La herramienta de búsqueda de conversaciones de Claude aún devuelve chats eliminados
Seguridad

La herramienta de búsqueda de conversaciones de Claude aún devuelve chats eliminados

Un usuario de Claude Pro descubrió que las conversaciones eliminadas siguen siendo recuperables a través de la herramienta de búsqueda de conversaciones de Claude, devolviendo contenido sustancial que incluye títulos, recuentos de mensajes y extractos, a pesar de que los enlaces del chat están inactivos.

OpenClawRadar
Paquete malicioso de PyTorch Lightning roba credenciales e infecta paquetes npm
Seguridad

Paquete malicioso de PyTorch Lightning roba credenciales e infecta paquetes npm

Los paquetes 'lightning' 2.6.2 y 2.6.3 de PyPI contienen malware con temática de Shai-Hulud que roba credenciales, tokens y secretos en la nube, y se propaga a paquetes npm mediante cargas útiles JavaScript inyectadas.

OpenClawRadar