Анализ безопасности извлечения компонентов OpenClaw для создания пользовательских ИИ-агентов

✍️ OpenClawRadar📅 Опубликовано: 14 марта 2026 г.🔗 Source
Анализ безопасности извлечения компонентов OpenClaw для создания пользовательских ИИ-агентов
Ad

Разработчик опубликовал детальный анализ безопасности, определяющий, какие компоненты OpenClaw можно безопасно извлечь для использования в пользовательских стеках ИИ-агентов без запуска всей системы. Анализ фокусируется на таких компонентах, как поиск в памяти, автоматизация браузера и функциональность очереди задач.

Методология оценки безопасности

Разработчик использовал методологию Lethal Quartet (Willison/Palo Alto Networks) для оценки каждого компонента по четырём критериям: обращается ли он к приватным данным, обрабатывает ли непроверенный контент, осуществляет ли внешнюю коммуникацию или сохраняет состояние.

Градиент безопасности компонентов

  • Lane Queue (0/4): Чистая логика без ввода-вывода. Полностью безопасен для извлечения. Требует замены 3 импортов в двух файлах.
  • Workspace Config (2/4): Формат безвреден, но memory.md служит одновременно конфигурацией и целью записи, создавая потенциал для атак отравления памяти.
  • Memory System (3/4): Сохраняет всё в открытом тексте. Извлечение memsearch упустило 10 рабочих функций.
  • Semantic Snapshots (4/4): Полный вектор угроз. BrowserClaw извлёк этот компонент, но удалил всю обёртку безопасности.
Ad

Критические выводы по безопасности

Оценка 4/4 для Semantic Snapshots представляет наиболее тревожный вывод. OpenClaw оборачивает весь вывод браузера рандомизированными маркерами границ, чтобы LLM мог различать доверенный и недоверенный контент. Однако BrowserClaw, agent-browser и moltworker удалили эту функцию безопасности при извлечении компонента.

Ни одно из автономных извлечений не включает какой-либо формы обёртки контента. Это означает, что каждый снимок страницы попадает в контекст LLM как сырой текст, создавая значительную поверхность для инъекций в промпт.

Сам BrowserClaw обеспечивает экономию в 90% токенов по сравнению со скриншотами и проверен в продакшене, но последствия безопасности его извлечения без обёртки существенны.

Доступные ресурсы

Разработчик создал детальные профили для каждого компонента, включая рецепты извлечения, карты зависимостей, что ломается при извлечении, паттерны интеграции с фреймворками (LangGraph/AutoGen/CrewAI/SK) и конкретные меры защиты. Они доступны по адресу: https://github.com/Agent-Trinity/openclaw-block-profiles

📖 Прочитать полный источник: r/LocalLLaMA

Ad

👀 Смотрите также

Архитектурное решение для проблемы чрезмерной централизации ИИ-агентов: разделение памяти, исполнения и исходящих действий.
Безопасность

Архитектурное решение для проблемы чрезмерной централизации ИИ-агентов: разделение памяти, исполнения и исходящих действий.

Разработчик осознал, что его ИИ-ассистент превращается во «внутреннего автократа», объединяя долговременную память, доступ к инструментам и автономные решения в одном компоненте. Решение заключалось в разделении системы на три роли: приватный контроллер, ограниченные рабочие агенты и исходящий шлюз.

OpenClawRadar
Критическая уязвимость удаленного выполнения кода (RCE) в библиотеке protobuf.js
Безопасность

Критическая уязвимость удаленного выполнения кода (RCE) в библиотеке protobuf.js

Критическая уязвимость удаленного выполнения кода в protobuf.js версий 8.0.0/7.5.4 и ниже позволяет выполнять JavaScript-код через вредоносные схемы. Исправления доступны в версиях 8.0.1 и 7.5.5.

OpenClawRadar
Предупреждение безопасности OpenClaw: 500 000 общедоступных экземпляров, стандартная конфигурация подвергает системы угрозам.
Безопасность

Предупреждение безопасности OpenClaw: 500 000 общедоступных экземпляров, стандартная конфигурация подвергает системы угрозам.

Анализ безопасности выявил 500 000 общедоступных экземпляров OpenClaw, из которых 30 000 имеют известные риски безопасности, а 15 000 уязвимы через известные уязвимости. Установка по умолчанию отключает аутентификацию и привязывается к 0.0.0.0, подвергая настройки агентов открытому интернету.

OpenClawRadar
Уязвимости функции «Разрешать всегда» в OpenClaw и более безопасные альтернативы
Безопасность

Уязвимости функции «Разрешать всегда» в OpenClaw и более безопасные альтернативы

Функция 'разрешить всегда' в OpenClaw стала предметом двух уязвимостей (CVE) в этом месяце, позволяя выполнять несанкционированные команды через привязку команд-обёрток и обходы с помощью символов продолжения строки в оболочке. Более глубокая проблема заключается в том, как эта функция приучает пользователей переставать обращать внимание на запросы безопасности.

OpenClawRadar