Кейлгард: Открытый сканер безопасности для экземпляров OpenClaw

Caelguard — это сканер безопасности с открытым исходным кодом, специально созданный для экземпляров OpenClaw. Его разработал специалист по кибербезопасности с более чем 12-летним опытом работы в области корпоративной защиты электронной почты. Инструмент был создан в ответ на атаку на цепочку поставок ClawHavoc, которая выявила более 2400 вредоносных навыков на ClawHub. Reuters сообщили 26 марта, что 12% всего маркетплейса составляют вредоносные программы.
Ключевые возможности и проверки
Комьюнити-версия выполняет 22 проверки безопасности вашего экземпляра OpenClaw, включая:
- Изоляцию Docker
- Ограничение разрешений инструментов
- Проверку цепочки поставок навыков
- Устойчивость к инъекциям промптов
- Мониторинг исходящего сетевого трафика
- Целостность сервера MCP
- Мониторинг целостности конфигурационных файлов
Что он обнаруживает
Конкретные уязвимости, которые выявляет сканер:
- Навыки, установленные из ClawHub без фиксации хэша (риск цепочки поставок)
- Разрешения инструментов, установленные на «разрешить всё», вместо явного списка разрешённых
- Отсутствие правил iptables DOCKER-USER (контейнеры могут общаться с чем угодно)
- Файлы SOUL.md без директив защиты от инъекций промптов
- Cron-задачи, выполняемые в контексте основной сессии, а не изолированно
Детали реализации
Caelguard выставляет оценку безопасности из 140 баллов с буквенным обозначением и указывает, что исправить в первую очередь. Собственный экземпляр разработчика изначально получил 4 балла из 140 (после устранения проблем — 83). Инструмент распространяется по лицензии MIT и доступен по адресу https://github.com/Caelguard/caelguard-community.
Разработчик отмечает, что, судя по наблюдаемым шаблонам, большинство экземпляров, вероятно, находятся в диапазоне 20–40 баллов, и активно собирает отзывы о недостающих проверках и пограничных случаях.
📖 Read the full source: r/openclaw
👀 Смотрите также

Анализ безопасности извлечения компонентов OpenClaw для создания пользовательских ИИ-агентов
Разработчик проанализировал исходный код OpenClaw, чтобы определить, какие компоненты можно безопасно извлечь для использования в пользовательских ИИ-агентах, оценив каждый по методологии Lethal Quartet. Анализ выявил значительные риски безопасности в таких компонентах, как Semantic Snapshots и BrowserClaw.

Защита разделителями повышает устойчивость Gemma 4 к инъекциям промптов с 21% до 100% в тестовом бенчмарке из 6100+ примеров
Бенчмарк протестировал 15 моделей на 7 типах атак (6100+ тестов), используя случайные разделители вокруг ненадежного контента. Gemma 4 E4B улучшила показатель защиты с 21,6% до 100% при использовании разделителя + строгого промпта.

Многосообщенная инъекция промптов: атака с использованием образа «Вымышленное существо» против Claude
Атака, которая за три сообщения создает вымышленное правило, а затем призывает призрака для его активации — каждое сообщение по отдельности безвредно. Схема независимо сходится у разных атакующих.

arifOS: Управляющее ядро MCP стоимостью 15 миллионов долларов для обеспечения безопасности инструмента OpenClaw
arifOS — это легковесный MCP-сервер, который перехватывает вызовы инструментов OpenClaw, оценивает их по шкале от 000 до 999 и блокирует небезопасные действия с помощью 13 строгих уровней безопасности до того, как они достигнут файловых систем, API или баз данных.