Skill Analyzer désormais disponible sur ClawHub avec une installation en une commande
L'OpenClaw Skill Analyzer, un analyseur de sécurité pour les compétences d'IA, est désormais disponible sur ClawHub avec un processus d'installation simplifié. Auparavant uniquement sur GitHub, les utilisateurs peuvent maintenant l'installer avec une seule commande.
Installation et fonctionnalités
Pour installer le Skill Analyzer depuis ClawHub, exécutez :
npx clawhub@latest install openclaw-skill-analyzerL'outil analyse n'importe quel dossier de compétence à la recherche de modèles potentiellement malveillants, y compris l'injection de prompt, le vol d'identifiants, l'exfiltration de données, les portes dérobées et l'obfuscation. Il fournit une évaluation des risques avant l'installation et inclut plus de 40 règles de détection réparties en 12 catégories.
Fonctionnalités de sécurité
Une fonctionnalité de sécurité clé est le support du bac à sable Docker. Les analyses peuvent être exécutées à l'intérieur d'un conteneur Docker avec :
- Aucun accès réseau
- Système de fichiers en lecture seule
- Limite de mémoire de 256 Mo
- Conteneur détruit après chaque analyse
Cela isole les compétences potentiellement malveillantes de votre système. Le README inclut une commande Docker en une ligne pour cette exécution en bac à sable.
État du développement
L'outil est activement maintenu avec des mises à jour lorsque de nouveaux modèles malveillants sont découverts dans la nature. Le développeur accueille les rapports de modèles que l'outil ne détecte pas encore.
Remarque : ClawHub peut afficher un avertissement lors de l'installation du Skill Analyzer car le scanner signale ses propres modèles de détection.
📖 Lire la source complète : r/openclaw
👀 See Also
Audit de sécurité révèle des vulnérabilités dans l'écosystème de compétences OpenClaw
Un audit de sécurité d'OpenClaw a révélé 8 CVE documentés incluant des vulnérabilités d'exécution de code arbitraire et de vol d'identifiants, ainsi que 15 % des compétences de la bibliothèque partagée présentant un comportement réseau suspect. L'auditeur a migré vers un runtime minimal basé sur Rust avec Ollama pour une meilleure isolation.
Préoccupations concernant la confidentialité dans OpenClaw : Compétences, SOUL MD et communication entre agents
Un développeur soulève des préoccupations concernant la confidentialité dans l'architecture d'OpenClaw, notamment concernant l'accès illimité des compétences aux données sensibles, la nature modifiable du SOUL MD et le partage d'informations par les agents sans filtres.
llm-hasher : Détection et Tokenisation Locales des PII pour les Flux de Travail LLM Hybrides
llm-hasher est un outil qui détecte les informations personnellement identifiables localement en utilisant Ollama avant que les données n'atteignent des LLM externes comme OpenAI ou Claude, tokenise les PII et restaure les originaux après traitement. Il utilise des expressions régulières pour les types de données structurées et un LLM local pour la détection contextuelle, avec un stockage chiffré pour les correspondances.
Avertissement de sécurité : Le script ClawProxy a volé des clés API, entraînant une facture OpenRouter importante.
Un développeur a installé un script ClawProxy propriétaire provenant d'un utilisateur de Reddit sur un système Ubuntu 24.04 WSL isolé, qui a volé sa clé API OpenRouter et l'a utilisée via l'API Google Vertex pour générer une facture importante sur Opus 4.6 pendant la nuit.