Уязвимости функции «Разрешать всегда» в OpenClaw и более безопасные альтернативы
Уязвимости системы одобрения OpenClaw
Система одобрения OpenClaw спрашивает пользователей "можно мне это сделать?" перед выполнением команд, предлагая варианты: одобрить один раз или одобрить всегда. Функция "разрешить всегда" была идентифицирована как угроза безопасности благодаря двум недавним уязвимостям (CVE).
Конкретные проблемы безопасности
CVE-2026-29607: Одобрение "разрешить всегда" привязывается к команде-обёртке, а не к внутренней команде. Если вы одобрите time npm test с опцией "всегда", система запомнит "всегда разрешать time". Позже, если агент (или через инъекцию в запрос) выполнит time rm -rf /, команда выполнится без повторного запроса, потому что вы одобрили команду-обёртку.
CVE-2026-28460: Эта уязвимость полностью обходит список разрешённых команд, используя символы продолжения строки в оболочке. Другая техника, но тот же результат: команды выполняются без проверки одобрения, которую вы считали своей защитой.
Обе уязвимости исправлены в OpenClaw 3.12+, но более глубокая проблема остаётся.
Поведенческая проблема безопасности
Даже после исправления, ментальная модель "разрешить всегда" приучает пользователей переставать обращать внимание. Изначально пользователи внимательно читают каждый запрос на одобрение. К 3-й неделе они нажимают "всегда" на всё подряд, потому что запросы становятся раздражающими, а доверие к агенту растёт. К 6-й неделе пользователи накапливают 20+ правил "всегда", которые они не смогли бы перечислить, если бы их спросили.
Рекомендуемый альтернативный подход
Автор источника рекомендует: не использовать "разрешить всегда" для чего-либо, что изменяет файлы, отправляет сообщения или выполняет команды оболочки. Вместо этого добавьте явные ограничения в ваш файл SOUL.md:
"для любого действия, которое изменяет файлы, отправляет сообщения или выполняет команды оболочки: покажите мне точно, что вы планируете сделать, и ждите моего явного подтверждения. предыдущие одобрения не переносятся. спрашивайте каждый раз. это не обсуждается."
Такой подход означает больше нажатий "ок" в интерфейсах, таких как Telegram, но предотвращает возможность обмана агента через инъекцию в запрос или его собственные галлюцинации для выполнения разрушительных действий под устаревшими одобрениями.
Ключевой вывод
Система одобрения — это функция для удобства, которая никогда не проектировалась как граница безопасности. Относитесь к ней соответственно.
📖 Read the full source: r/openclaw
👀 Смотрите также
Bitwarden Agent Access SDK интегрируется с OneCLI для безопасного внедрения учетных данных.
Новый SDK Agent Access от Bitwarden позволяет ИИ-агентам получать доступ к учетным данным из хранилища Bitwarden с одобрения человека, в то время как OneCLI выступает в качестве шлюза, который внедряет учетные данные на сетевом уровне, не раскрывая их исходные значения агентам.
Анализатор навыков теперь доступен на ClawHub с установкой одной командой.
Сканер безопасности OpenClaw Skill Analyzer теперь доступен на ClawHub с установкой одной командой. Инструмент проверяет папки навыков на наличие вредоносных паттернов, таких как инъекция промптов и кража учетных данных, и включает поддержку Docker-песочницы для безопасного выполнения.
Пять основных шагов по обеспечению безопасности для экземпляров OpenClaw
В посте на Reddit предупреждают, что запуск OpenClaw с настройками по умолчанию создаёт серьёзные риски безопасности, и предлагают пять немедленных действий: сменить порт по умолчанию, использовать Tailscale для приватного доступа, настроить брандмауэр, создать отдельные учётные записи для агента и проверять навыки перед установкой.
Безопасность прежде всего: подход IronClaw к защите ИИ-агентов
IronClaw решает проблемы безопасности ИИ-агентов, внедряя ограниченное выполнение, зашифрованные среды и явные разрешения вместо того, чтобы полагаться на интеллект LLM для безопасного поведения.