L'amélioration de la sécurité de ClawVault ajoute la détection des données sensibles pour OpenClaw
Proxy de sécurité pour le trafic LLM OpenClaw
Yet Another ClawVault est une amélioration minimale, axée sur la sécurité, construite directement sur l'architecture originale de ClawVault. Il est conçu pour ajouter rapidement des garde-fous solides aux déploiements OpenClaw en interceptant le trafic API des modèles et en empêchant les fuites de données sensibles.
Fonctionnalités principales
L'outil se concentre sur trois capacités principales :
- Proxy transparent pour intercepter le trafic API des modèles (déjà implémenté dans le ClawVault original)
- Détection en temps réel des données sensibles avec assainissement ou blocage automatique
- Surveillance propre incluant l'utilisation des jetons et des alertes sur les opérations sensibles
Installation rapide
L'installation suit le style de démarrage rapide du projet original :
pip install -e .
clawvault startAprès l'installation, dirigez les appels API d'OpenClaw vers le port du proxy en utilisant la configuration par défaut :
proxy:
port: 8765
intercept_hosts: ["api.openai.com", "api.anthropic.com"]
guard:
mode: "interactive"Détection des données sensibles
La couche de garde inclut une correspondance supplémentaire des champs sensibles qui assainit ou bloque automatiquement les données correspondant à des motifs comme :
- password=
- sk-proj-
- Jetons Bearer
Cette amélioration a été créée après que l'examen des journaux de requêtes LLM d'OpenClaw ait révélé plusieurs cas où le modèle incluait directement des données sensibles (mots de passe, clés API, jetons) en texte clair dans les invites ou les appels d'outils. Selon les développeurs, depuis la mise en œuvre de cette combinaison proxy + garde, il n'y a plus "de clés en clair qui flottent dans les journaux".
Le dépôt original de ClawVault est disponible à l'adresse https://github.com/tophant-ai/ClawVault, et les développeurs sont encouragés à forker et à soumettre des PR pour ces améliorations.
📖 Read the full source: r/LocalLLaMA
👀 See Also
Cache-œil : Un Plugin Qui Empêche le Code Claude de Lire Vos Fichiers .env
Blindfold est un nouveau plugin qui empêche Claude Code d'accéder aux valeurs secrètes réelles dans les fichiers .env en les conservant dans le trousseau du système d'exploitation et en utilisant des espaces réservés comme {{STRIPE_KEY}}, avec des crochets qui bloquent les tentatives d'accès direct.
L'outil Cloak remplace les mots de passe des chats par des liens autodestructeurs pour les agents OpenClaw.
Cloak est un outil open source qui remplace les mots de passe partagés dans les discussions avec les agents OpenClaw par des liens autodestructeurs. Chaque lien ne peut être ouvert qu'une seule fois, puis le mot de passe disparaît, empêchant ainsi l'accumulation de mots de passe dans les historiques de discussion.
Les failles de sécurité de la fonction 'Autoriser toujours' d'OpenClaw et des alternatives plus sûres
La fonctionnalité d'approbation 'autoriser toujours' d'OpenClaw a fait l'objet de deux CVE ce mois-ci, permettant une exécution de commandes non autorisée via la liaison de commandes wrapper et des contournements de continuation de ligne de shell. Le problème plus profond est la façon dont cette fonctionnalité habitue les utilisateurs à ne plus prêter attention aux invites de sécurité.
OpenClaw Corrige une Élévation de Privilèges Critique dans le Chemin d'Approbation /pair
OpenClaw 2026.3.28 corrige une vulnérabilité de sécurité critique (GHSA-hc5h-pmr3-3497) où la commande /pair approve permettait aux utilisateurs disposant de privilèges d'appairage d'approuver des demandes de périphériques pour des portées plus larges, y compris l'accès administrateur. Les versions affectées sont <= 2026.3.24.