Анализ безопасности извлечения компонентов OpenClaw для создания пользовательских ИИ-агентов
Разработчик опубликовал детальный анализ безопасности, определяющий, какие компоненты OpenClaw можно безопасно извлечь для использования в пользовательских стеках ИИ-агентов без запуска всей системы. Анализ фокусируется на таких компонентах, как поиск в памяти, автоматизация браузера и функциональность очереди задач.
Методология оценки безопасности
Разработчик использовал методологию Lethal Quartet (Willison/Palo Alto Networks) для оценки каждого компонента по четырём критериям: обращается ли он к приватным данным, обрабатывает ли непроверенный контент, осуществляет ли внешнюю коммуникацию или сохраняет состояние.
Градиент безопасности компонентов
- Lane Queue (0/4): Чистая логика без ввода-вывода. Полностью безопасен для извлечения. Требует замены 3 импортов в двух файлах.
- Workspace Config (2/4): Формат безвреден, но memory.md служит одновременно конфигурацией и целью записи, создавая потенциал для атак отравления памяти.
- Memory System (3/4): Сохраняет всё в открытом тексте. Извлечение memsearch упустило 10 рабочих функций.
- Semantic Snapshots (4/4): Полный вектор угроз. BrowserClaw извлёк этот компонент, но удалил всю обёртку безопасности.
Критические выводы по безопасности
Оценка 4/4 для Semantic Snapshots представляет наиболее тревожный вывод. OpenClaw оборачивает весь вывод браузера рандомизированными маркерами границ, чтобы LLM мог различать доверенный и недоверенный контент. Однако BrowserClaw, agent-browser и moltworker удалили эту функцию безопасности при извлечении компонента.
Ни одно из автономных извлечений не включает какой-либо формы обёртки контента. Это означает, что каждый снимок страницы попадает в контекст LLM как сырой текст, создавая значительную поверхность для инъекций в промпт.
Сам BrowserClaw обеспечивает экономию в 90% токенов по сравнению со скриншотами и проверен в продакшене, но последствия безопасности его извлечения без обёртки существенны.
Доступные ресурсы
Разработчик создал детальные профили для каждого компонента, включая рецепты извлечения, карты зависимостей, что ломается при извлечении, паттерны интеграции с фреймворками (LangGraph/AutoGen/CrewAI/SK) и конкретные меры защиты. Они доступны по адресу: https://github.com/Agent-Trinity/openclaw-block-profiles
📖 Прочитать полный источник: r/LocalLLaMA
👀 Смотрите также
mcp-scan: Сканер безопасности для конфигураций серверов MCP
mcp-scan проверяет конфигурации MCP-серверов на наличие проблем безопасности, включая секреты в конфигурационных файлах, известные уязвимости в пакетах, подозрительные шаблоны разрешений, векторы эксфильтрации и атаки отравления инструментов. Он автоматически обнаруживает конфигурации для Claude Desktop, Cursor, VS Code, Windsurf и 6 других AI-клиентов.
Сканирование безопасности выявляет критическую уязвимость в инструменте поиска навыков AI-агента.
Разработчик, проводивший сканирование безопасности своей настройки ИИ-агента, обнаружил уязвимость высокой степени серьезности в инструменте find-skills, который использовался для установки дополнительных навыков, что вызвало обеспокоенность по поводу безопасности экосистемы.
Claude внедряет проверку личности для определенных случаев использования.
Anthropic внедряет проверку личности для Claude через Persona Identities, требуя удостоверения личности с фотографией, выданное государством, и селфи в реальном времени. Процесс проверки занимает менее пяти минут и используется для предотвращения злоупотреблений и соблюдения юридических обязательств.
MCP Sandbox: Запускайте MCP-серверы в изолированных контейнерах без необходимости им доверять
Разработчик создал MCP Sandbox, который запускает MCP-серверы в изолированных контейнерах gVisor с политикой запрета сетевого доступа по умолчанию и безопасным внедрением секретов, а также предварительным сканированием на уязвимости CVE и проверкой паттернов.