Анализ безопасности извлечения компонентов OpenClaw для создания пользовательских ИИ-агентов

Разработчик опубликовал детальный анализ безопасности, определяющий, какие компоненты OpenClaw можно безопасно извлечь для использования в пользовательских стеках ИИ-агентов без запуска всей системы. Анализ фокусируется на таких компонентах, как поиск в памяти, автоматизация браузера и функциональность очереди задач.
Методология оценки безопасности
Разработчик использовал методологию Lethal Quartet (Willison/Palo Alto Networks) для оценки каждого компонента по четырём критериям: обращается ли он к приватным данным, обрабатывает ли непроверенный контент, осуществляет ли внешнюю коммуникацию или сохраняет состояние.
Градиент безопасности компонентов
- Lane Queue (0/4): Чистая логика без ввода-вывода. Полностью безопасен для извлечения. Требует замены 3 импортов в двух файлах.
- Workspace Config (2/4): Формат безвреден, но memory.md служит одновременно конфигурацией и целью записи, создавая потенциал для атак отравления памяти.
- Memory System (3/4): Сохраняет всё в открытом тексте. Извлечение memsearch упустило 10 рабочих функций.
- Semantic Snapshots (4/4): Полный вектор угроз. BrowserClaw извлёк этот компонент, но удалил всю обёртку безопасности.
Критические выводы по безопасности
Оценка 4/4 для Semantic Snapshots представляет наиболее тревожный вывод. OpenClaw оборачивает весь вывод браузера рандомизированными маркерами границ, чтобы LLM мог различать доверенный и недоверенный контент. Однако BrowserClaw, agent-browser и moltworker удалили эту функцию безопасности при извлечении компонента.
Ни одно из автономных извлечений не включает какой-либо формы обёртки контента. Это означает, что каждый снимок страницы попадает в контекст LLM как сырой текст, создавая значительную поверхность для инъекций в промпт.
Сам BrowserClaw обеспечивает экономию в 90% токенов по сравнению со скриншотами и проверен в продакшене, но последствия безопасности его извлечения без обёртки существенны.
Доступные ресурсы
Разработчик создал детальные профили для каждого компонента, включая рецепты извлечения, карты зависимостей, что ломается при извлечении, паттерны интеграции с фреймворками (LangGraph/AutoGen/CrewAI/SK) и конкретные меры защиты. Они доступны по адресу: https://github.com/Agent-Trinity/openclaw-block-profiles
📖 Прочитать полный источник: r/LocalLLaMA
👀 Смотрите также

Архитектурное решение для проблемы чрезмерной централизации ИИ-агентов: разделение памяти, исполнения и исходящих действий.
Разработчик осознал, что его ИИ-ассистент превращается во «внутреннего автократа», объединяя долговременную память, доступ к инструментам и автономные решения в одном компоненте. Решение заключалось в разделении системы на три роли: приватный контроллер, ограниченные рабочие агенты и исходящий шлюз.

Критическая уязвимость удаленного выполнения кода (RCE) в библиотеке protobuf.js
Критическая уязвимость удаленного выполнения кода в protobuf.js версий 8.0.0/7.5.4 и ниже позволяет выполнять JavaScript-код через вредоносные схемы. Исправления доступны в версиях 8.0.1 и 7.5.5.

Предупреждение безопасности OpenClaw: 500 000 общедоступных экземпляров, стандартная конфигурация подвергает системы угрозам.
Анализ безопасности выявил 500 000 общедоступных экземпляров OpenClaw, из которых 30 000 имеют известные риски безопасности, а 15 000 уязвимы через известные уязвимости. Установка по умолчанию отключает аутентификацию и привязывается к 0.0.0.0, подвергая настройки агентов открытому интернету.

Уязвимости функции «Разрешать всегда» в OpenClaw и более безопасные альтернативы
Функция 'разрешить всегда' в OpenClaw стала предметом двух уязвимостей (CVE) в этом месяце, позволяя выполнять несанкционированные команды через привязку команд-обёрток и обходы с помощью символов продолжения строки в оболочке. Более глубокая проблема заключается в том, как эта функция приучает пользователей переставать обращать внимание на запросы безопасности.