A Arquitetura Zero-Trust OpenClaw Adiciona Autorização Pré-Execução e Verificação Pós-Execução
Uma arquitetura de segurança de código aberto para o OpenClaw aborda o problema de agentes terem permissões de SO ambientes sem verificação confiável de suas ações. A solução implementa dois pontos de verificação rígidos no loop de execução.
Portão Pré-Execução
Um daemon local em Rust chamado predicate-authorityd intercepta cada chamada de ferramenta antes da execução e verifica-a contra uma política declarativa. Isso fornece sobrecarga de autorização submilissegundo com p99 <25ms. O sistema é fail-closed: se o sidecar estiver inativo, tudo é negado. Por exemplo, se um agente tentar escrever em /etc/passwd, ele é bloqueado rigidamente e o SO host nunca é tocado.
Verificação Pós-Execução
Em vez de perguntar a um LLM "funcionou?" após ações no navegador, o sistema executa asserções determinísticas como:
url_contains("news.ycombinator.com")→ PASSOUelement_exists("titleline")→ PASSOUdom_contains("Show")→ PASSOU
O padrão .eventually() lida com hidratação de SPA sem chamadas frágeis de sleep().
Rastreamento e Economia de Tokens
Cada etapa — decisões de autorização, capturas de DOM, resultados de verificação — é enviada para um rastreamento (local ou na nuvem). Você pode reproduzir o estado exato do agente passo a passo em um portal web, útil para depurar asserções falhas ou auditar o que o agente realmente viu (screenshots incluídos).
A habilidade predicate-snapshot comprime o DOM apenas para elementos acionáveis, alcançando economia de 90-99% em tokens. Em uma demonstração extraindo posts do Hacker News, usou ~1200 tokens por etapa em vez de 50k+ para HTML bruto.
Casos de Uso e Desenvolvimento Futuro
Esta arquitetura está pronta para produção para tarefas como monitoramento de preços em sites de e-commerce (Amazon, eBay), rastreamento de concorrentes, geração de leads a partir de diretórios ou qualquer raspagem web onde você precise de garantias de que o agente realmente extraiu os dados corretos.
O portão pré-execução já funciona para qualquer agente (são apenas chamadas HTTP para o sidecar). O desenvolvimento futuro inclui estender a verificação pós-execução para agentes não-web — asserções de estado do sistema de arquivos, validação de resposta de API, verificações de banco de dados — usando a mesma abordagem determinística sem LLM-como-juiz.
Repositórios
- Plugin de segurança OpenClaw: https://github.com/PredicateSystems/predicate-claw (com demonstração em GIF)
- Habilidade Snapshot OpenClaw: https://github.com/PredicateSystems/openclaw-predicate-skill
📖 Leia a fonte completa: r/clawdbot
👀 See Also
Malware Encontrado nas Habilidades da Comunidade OpenClaw — Alerta de Roubo de Criptomoedas
Nenhum
AviationWeather.gov API contém tentativa de injeção de prompt 'Stop Claude'
Um usuário relata que a API do AviationWeather.gov do governo dos EUA retorna o texto 'Stop Claude' em suas respostas quando acessada através do Claude CoWork, acionando um aviso de segurança sobre ataques de injeção de prompt.
A ferramenta de busca de conversas do Claude ainda retorna chats excluídos
Um usuário do Claude Pro descobriu que conversas excluídas permanecem recuperáveis através da ferramenta de busca de conversas do Claude, retornando conteúdo substantivo incluindo títulos, contagens de mensagens e trechos, apesar dos links do chat estarem inativos.
OpenClaw Security: 13 Passos Práticos para Proteger Seu Agente de IA
Uma postagem no Reddit descreve 13 medidas de segurança para instalações do OpenClaw, incluindo executar em uma máquina separada, usar Tailscale para isolamento de rede, colocar subagentes em sandbox no Docker e configurar listas de permissão para acesso de usuários.