openclaw-credential-vault устраняет четыре пути утечки учетных данных в ИИ-агентах

openclaw-credential-vault — это инструмент безопасности, который устраняет риски раскрытия учетных данных в настройках агентов ИИ OpenClaw. Инструмент реализует три уровня защиты от четырех выявленных путей утечки учетных данных.
Четыре пути раскрытия учетных данных
Источник определяет следующие основные угрозы:
- Прямой доступ к файлам/переменным окружения: Агенты, выполняющие команды типа
cat ~/.envилиecho $GITHUB_TOKEN, могут раскрыть учетные данные, хранящиеся в переменных окружения или конфигурационных файлах. - Утечка через контекстное окно: Вывод инструмента, содержащий токены или заголовки авторизации, навсегда сохраняется в истории разговора.
- Экфильтрация через инъекцию в промпт: Вредоносные инструкции могут обмануть агентов, заставив их переслать доступные им учетные данные.
- Атаки на цепочку поставок: Вредоносные навыки ClawHub, выполняющие произвольный код с разрешениями агента.
Ключевое понимание: первые три пути зависят от того, что учетные данные видны процессу агента. Устранение этой видимости устраняет 75% поверхности атаки.
Как работает openclaw-credential-vault
Инструмент предоставляет три уровня защиты:
Изоляция на уровне ОС
Выделенный системный пользователь владеет зашифрованными файлами хранилища, с разрешениями файловой системы, обеспечиваемыми ядром. Процесс агента не может получить доступ к этим файлам на уровне файловой системы.
Инъекция с ограниченной областью действия для подпроцессов
Учетные данные расшифровываются изолированным бинарным файлом-резолвером и внедряются только в определенные среды подпроцессов. Например, GITHUB_TOKEN существует только внутри процесса gh и исчезает при завершении этого подпроцесса. Собственный процесс агента никогда не видит учетные данные в открытом виде.
Очистка вывода с 4 перехватчиками
Прежде чем вывод инструмента достигнет агента, четыре независимых уровня сканируют его на предмет утечек:
- Сопоставление по регулярным выражениям для известных форматов, таких как
ghp_иsk_live_ - Буквальное сопоставление на основе хешей с точными сохраненными учетными данными
- Сопоставление по именам переменных окружения
- Глобальное обнаружение известных форматов
Техническая реализация
- Шифрование: AES-256-GCM со случайными солями для каждой учетной записи
- Вывод ключа: Argon2id с затратами памяти 64 MiB, 3 итерации
- Совместимость: Работает с любыми инструментами командной строки или API, включая вход в браузер или файлы cookie сеанса
- Поддержка BYOT (Bring your own tools)
- Покрытие тестами: ~700 тестов в 36 файлах
- Открытый исходный код
Настройка и использование
Установка: npm install -g openclaw-credential-vault
Базовая настройка: openclaw vault add github --key ghp_xxx
Инструмент устраняет ограничения в SecretRefs (v2026.3.2), которые обрабатывают секреты на уровне конфигурации, но не имеют разделения на уровне ОС и покрывают только собственные ключи конфигурации OpenClaw, а не произвольные инструменты, такие как CLI gh или stripe.
📖 Read the full source: r/openclaw
👀 Смотрите также

Уязвимость OpenClaw: 42,000 случаев раскрытия данных
OpenClaw столкнулся с серьезной проблемой безопасности, которая привела к раскрытию 42,000 экземпляров с 341 вредоносными навыками. Быстрый ответ включал создание AgentVault, прокси-сервера безопасности.

Malware в community skills OpenClaw — предупреждение о краже криптовалюты

Правила Когтя: Набор правил безопасности с открытым исходным кодом для агентов OpenClaw
Открытый набор правил JSON с 139 правилами безопасности, который блокирует деструктивные команды, защищает файлы с учетными данными и оберегает инструкционные файлы от несанкционированных изменений агентами. Работает без зависимости от LLM, используя регулярные выражения на уровне инструментов.

Атаки с маскировкой домена обходят детекторы в многолетних LLM-системах
Новое исследование показывает, что инъекционные полезные нагрузки, адаптированные под словарь предметной области, обходят детекцию: IDR упал с 93.8% до 9.7%. Многоагентные дебаты усиливают атаки. Llama Guard 3 не обнаруживает ни одной полезной нагрузки.