OpenClaw заблокировал подозрительный скрипт из плейбука продуктивности, а затем продолжил создавать финансовую рабочую книгу

Пользователь Reddit поделился историей в r/openclaw о том, как OpenClaw помог ему организовать финансы перед семейным разговором — и заодно заблокировал подозрительный скрипт.
Что произошло
У пользователя было несколько срочных задач: незнакомый банковский счет, привязанный к его номеру телефона, просьба жены предоставить медицинскую историю и финансовые документы, и чувство перегруженности. Он передал OpenClaw zip-архив с личными заметками, документом-спецификацией и PDF-файлом под названием «сборник продуктивности», найденным в интернете. Сборник обещал автоматически создать карту связей контактов и финансов, и в комплекте шел Python-скрипт, который предлагалось скопировать в локальную папку инструментов и запустить.
Скрипт автоматически заблокирован
OpenClaw прочитал сборник и скрипт, определил, что скрипт пытается скопировать себя в локальный каталог навыков и автоматически установить pip-пакеты, после чего отказался его запускать. По словам пользователя, OpenClaw выдал что-то вроде: «этот скрипт пытается скопировать себя в локальный каталог навыков и установить непроверенные зависимости, что я делать не буду». Вместо полной остановки OpenClaw продолжил вручную создавать рабочую книгу, используя свои встроенные навыки.
Перекрестная проверка финансов
Пользователь записал остатки на счетах по памяти, но многие оказались неверными — сбережений оказалось вдвое меньше, чем он думал, баланс кредитной карты — выше. OpenClaw извлек реальные цифры из Fintrack (подключенного финансового инструмента) и отметил каждое расхождение, вместо того чтобы слепо использовать заметки пользователя.
С чем возникли трудности
OpenClaw с трудом справлялся с субъективными решениями о конфиденциальности. Он выгрузил в рабочую книгу всё, включая личную информацию, которой пользователь не был готов делиться с женой. Пользователю пришлось вручную очистить данные, оставив только то, что можно показать семье. Кроме того, OpenClaw включил подписку из заметок пользователя, по которой не было транзакций — пользователь предпочел бы, чтобы она была помечена как непроверенная, а не принята за факт.
Главный вывод
Функция блокировки скриптов, вероятно, предотвратила запуск вредоносного кода. Отказ OpenClaw не был жесткой остановкой — он плавно перешел к ручной сборке с использованием надежных навыков. Для разработчиков, использующих ИИ-агенты для кодирования, это демонстрирует практическую изоляцию и ценность прозрачных сообщений об отказе.
📖 Читать полный источник: r/openclaw
👀 Смотрите также

AWS сообщает о компрометации более 600 межсетевых экранов FortiGate в результате атаки с использованием искусственного интеллекта.
Киберпреступники использовали готовые инструменты генеративного ИИ для компрометации более 600 интернет-доступных межсетевых экранов FortiGate в 55 странах в ходе месячной кампании, сообщает AWS. Злоумышленники сканировали открытые интерфейсы управления, пытались использовать слабые учетные данные и применяли ИИ для создания сценариев атак и скриптов.

Пользователь OpenClaw делится стратегией балансировки автономии агентов и веб-безопасности.
Пользователь OpenClaw описывает свою текущую задачу: балансирование автономности агентов с безопасностью, особенно в отношении доступа в интернет и рисков инъекции промптов. Они предлагают решение с использованием сегментов агентов с 'низким доверием' и 'высоким доверием' с этапом одобрения человеком.

Проблемы безопасности OpenClaw: ключи API и данные переписки под угрозой при стандартной самостоятельной хостинге
Отчёт Cisco указывает, что безопасность OpenClaw является «опциональной, а не встроенной», при этом конфигурации по умолчанию хранят API-ключи в файлах .env на VPS-инстансах, что создаёт потенциальную угрозу для нетехнических пользователей, работающих на базовых дроплетах.

Пакет Litellm на PyPI скомпрометирован: вредоносная версия 1.82.8 похищала учетные данные
Пакет litellm на PyPI, который унифицирует вызовы к OpenAI, Anthropic, Cohere и другим провайдерам ИИ, был скомпрометирован вредоносной версией 1.82.8, которая в течение примерно часа выгружала SSH-ключи, облачные учетные данные, API-ключи и другие конфиденциальные данные.