Verificador de SBOM sin conexión para OpenClaw detecta habilidades envenenadas en menos de 0,2 segundos
Verificación de SBOM sin conexión para habilidades de OpenClaw
Un desarrollador ha creado un verificador de SBOM (Lista de Materiales de Software) sin conexión para habilidades de OpenClaw después de descubrir una habilidad envenenada que estaba exfiltrando silenciosamente claves SSH. La herramienta verifica la integridad del SBOM sin requerir llamadas API o conectividad a internet, utilizando una implementación pura en Rust.
Detalles clave de la fuente
El desarrollador detectó una habilidad envenenada de OpenClaw la semana pasada que estaba exfiltrando claves SSH. En respuesta, construyó una herramienta que realiza la verificación de SBOM sin conexión. El proceso de verificación se completa en menos de 0.2 segundos según el título de la fuente.
La fuente incluye un fragmento de código que muestra cómo la herramienta identifica habilidades envenenadas:
ENVENENADA
Esperado: 2cf24dba...
Real: a1b2c3d4...Esto demuestra cómo la herramienta compara los valores hash esperados contra los valores hash reales para detectar alteraciones. El desarrollador está planeando características profesionales que incluyen enlaces de CI y correcciones automáticas para versiones futuras.
Contexto técnico
La verificación de SBOM es una práctica de seguridad que asegura que los componentes de software no hayan sido alterados comparando hashes criptográficos de archivos contra valores conocidos como buenos. Las habilidades de OpenClaw son componentes modulares que extienden las capacidades del agente de codificación de IA, convirtiéndolas en posibles vectores de ataque si se comprometen. La verificación sin conexión elimina la dependencia de servicios externos y reduce la superficie de ataque.
Rust fue elegido por sus garantías de seguridad de memoria y características de rendimiento, que son particularmente valiosas para herramientas críticas de seguridad. El tiempo de verificación de menos de 0.2 segundos mencionado en el título sugiere que la herramienta utiliza algoritmos de hash eficientes y sobrecarga mínima.
Para desarrolladores que usan OpenClaw, esta herramienta aborda una preocupación de seguridad específica: verificar que las habilidades descargadas no hayan sido modificadas para incluir código malicioso. Los enlaces de CI planeados integrarían esta verificación en las canalizaciones de integración continua, mientras que las correcciones automáticas podrían remediar automáticamente los problemas detectados.
📖 Leer la fuente completa: r/openclaw
👀 Ver también
Traducción al español: **La aplicación de escritorio Claude de Anthropic instala un puente de mensajería nativa no revelado**
Claude Desktop instala silenciosamente una extensión de navegador preautorizada que permite la mensajería nativa, generando preocupaciones de seguridad.
Brecha de Seguridad de OpenClaw Solucionada por la Especificación del Poder Notarial Agéntico (APOA)
Un desarrollador ha publicado una especificación abierta llamada Poder Notarial Agéntico (APOA) para abordar las preocupaciones de seguridad en OpenClaw, donde los agentes actualmente acceden a servicios como correo electrónico y calendario con solo instrucciones en lenguaje natural como barreras de protección. La especificación propone permisos por servicio, acceso limitado en el tiempo, registros de auditoría, revocación y aislamiento de credenciales.
Descifrado de la Mediación de AppLovin: La Huella Digital del Dispositivo Evita ATT
La ingeniería inversa reveló que el cifrado personalizado de AppLovin utiliza una sal constante + clave del SDK, un PRNG SplitMix64 y ninguna autenticación. Las solicitudes descifradas transmiten aproximadamente 50 campos del dispositivo (modelo de hardware, tamaño de pantalla, configuración regional, tiempo de arranque, etc.) incluso cuando se deniega ATT, lo que permite la reidentificación determinista entre aplicaciones.
