openclaw-credential-vault устраняет четыре пути утечки учетных данных в ИИ-агентах

openclaw-credential-vault — это инструмент безопасности, который устраняет риски раскрытия учетных данных в настройках агентов ИИ OpenClaw. Инструмент реализует три уровня защиты от четырех выявленных путей утечки учетных данных.

Четыре пути раскрытия учетных данных

Источник определяет следующие основные угрозы:

• Прямой доступ к файлам/переменным окружения: Агенты, выполняющие команды типа cat ~/.env или echo $GITHUB_TOKEN, могут раскрыть учетные данные, хранящиеся в переменных окружения или конфигурационных файлах.
• Утечка через контекстное окно: Вывод инструмента, содержащий токены или заголовки авторизации, навсегда сохраняется в истории разговора.
• Экфильтрация через инъекцию в промпт: Вредоносные инструкции могут обмануть агентов, заставив их переслать доступные им учетные данные.
• Атаки на цепочку поставок: Вредоносные навыки ClawHub, выполняющие произвольный код с разрешениями агента.

Ключевое понимание: первые три пути зависят от того, что учетные данные видны процессу агента. Устранение этой видимости устраняет 75% поверхности атаки.

Как работает openclaw-credential-vault

Инструмент предоставляет три уровня защиты:

Изоляция на уровне ОС

Выделенный системный пользователь владеет зашифрованными файлами хранилища, с разрешениями файловой системы, обеспечиваемыми ядром. Процесс агента не может получить доступ к этим файлам на уровне файловой системы.

Инъекция с ограниченной областью действия для подпроцессов

Учетные данные расшифровываются изолированным бинарным файлом-резолвером и внедряются только в определенные среды подпроцессов. Например, GITHUB_TOKEN существует только внутри процесса gh и исчезает при завершении этого подпроцесса. Собственный процесс агента никогда не видит учетные данные в открытом виде.

Очистка вывода с 4 перехватчиками

Прежде чем вывод инструмента достигнет агента, четыре независимых уровня сканируют его на предмет утечек:

• Сопоставление по регулярным выражениям для известных форматов, таких как ghp_ и sk_live_
• Буквальное сопоставление на основе хешей с точными сохраненными учетными данными
• Сопоставление по именам переменных окружения
• Глобальное обнаружение известных форматов

Техническая реализация

• Шифрование: AES-256-GCM со случайными солями для каждой учетной записи
• Вывод ключа: Argon2id с затратами памяти 64 MiB, 3 итерации
• Совместимость: Работает с любыми инструментами командной строки или API, включая вход в браузер или файлы cookie сеанса
• Поддержка BYOT (Bring your own tools)
• Покрытие тестами: ~700 тестов в 36 файлах
• Открытый исходный код

Настройка и использование

Установка: npm install -g openclaw-credential-vault

Базовая настройка: openclaw vault add github --key ghp_xxx

Инструмент устраняет ограничения в SecretRefs (v2026.3.2), которые обрабатывают секреты на уровне конфигурации, но не имеют разделения на уровне ОС и покрывают только собственные ключи конфигурации OpenClaw, а не произвольные инструменты, такие как CLI gh или stripe.