openclaw-credential-vault устраняет четыре пути утечки учетных данных в ИИ-агентах

✍️ OpenClawRadar📅 Опубликовано: 23 марта 2026 г.🔗 Source
openclaw-credential-vault устраняет четыре пути утечки учетных данных в ИИ-агентах
Ad

openclaw-credential-vault — это инструмент безопасности, который устраняет риски раскрытия учетных данных в настройках агентов ИИ OpenClaw. Инструмент реализует три уровня защиты от четырех выявленных путей утечки учетных данных.

Четыре пути раскрытия учетных данных

Источник определяет следующие основные угрозы:

  • Прямой доступ к файлам/переменным окружения: Агенты, выполняющие команды типа cat ~/.env или echo $GITHUB_TOKEN, могут раскрыть учетные данные, хранящиеся в переменных окружения или конфигурационных файлах.
  • Утечка через контекстное окно: Вывод инструмента, содержащий токены или заголовки авторизации, навсегда сохраняется в истории разговора.
  • Экфильтрация через инъекцию в промпт: Вредоносные инструкции могут обмануть агентов, заставив их переслать доступные им учетные данные.
  • Атаки на цепочку поставок: Вредоносные навыки ClawHub, выполняющие произвольный код с разрешениями агента.

Ключевое понимание: первые три пути зависят от того, что учетные данные видны процессу агента. Устранение этой видимости устраняет 75% поверхности атаки.

Ad

Как работает openclaw-credential-vault

Инструмент предоставляет три уровня защиты:

Изоляция на уровне ОС

Выделенный системный пользователь владеет зашифрованными файлами хранилища, с разрешениями файловой системы, обеспечиваемыми ядром. Процесс агента не может получить доступ к этим файлам на уровне файловой системы.

Инъекция с ограниченной областью действия для подпроцессов

Учетные данные расшифровываются изолированным бинарным файлом-резолвером и внедряются только в определенные среды подпроцессов. Например, GITHUB_TOKEN существует только внутри процесса gh и исчезает при завершении этого подпроцесса. Собственный процесс агента никогда не видит учетные данные в открытом виде.

Очистка вывода с 4 перехватчиками

Прежде чем вывод инструмента достигнет агента, четыре независимых уровня сканируют его на предмет утечек:

  • Сопоставление по регулярным выражениям для известных форматов, таких как ghp_ и sk_live_
  • Буквальное сопоставление на основе хешей с точными сохраненными учетными данными
  • Сопоставление по именам переменных окружения
  • Глобальное обнаружение известных форматов

Техническая реализация

  • Шифрование: AES-256-GCM со случайными солями для каждой учетной записи
  • Вывод ключа: Argon2id с затратами памяти 64 MiB, 3 итерации
  • Совместимость: Работает с любыми инструментами командной строки или API, включая вход в браузер или файлы cookie сеанса
  • Поддержка BYOT (Bring your own tools)
  • Покрытие тестами: ~700 тестов в 36 файлах
  • Открытый исходный код

Настройка и использование

Установка: npm install -g openclaw-credential-vault

Базовая настройка: openclaw vault add github --key ghp_xxx

Инструмент устраняет ограничения в SecretRefs (v2026.3.2), которые обрабатывают секреты на уровне конфигурации, но не имеют разделения на уровне ОС и покрывают только собственные ключи конфигурации OpenClaw, а не произвольные инструменты, такие как CLI gh или stripe.

📖 Read the full source: r/openclaw

Ad

👀 Смотрите также

Уязвимость OpenClaw: 42,000 случаев раскрытия данных
Безопасность

Уязвимость OpenClaw: 42,000 случаев раскрытия данных

OpenClaw столкнулся с серьезной проблемой безопасности, которая привела к раскрытию 42,000 экземпляров с 341 вредоносными навыками. Быстрый ответ включал создание AgentVault, прокси-сервера безопасности.

OpenClawRadar
Malware в community skills OpenClaw — предупреждение о краже криптовалюты
Безопасность

Malware в community skills OpenClaw — предупреждение о краже криптовалюты

u/Gil_berth
Правила Когтя: Набор правил безопасности с открытым исходным кодом для агентов OpenClaw
Безопасность

Правила Когтя: Набор правил безопасности с открытым исходным кодом для агентов OpenClaw

Открытый набор правил JSON с 139 правилами безопасности, который блокирует деструктивные команды, защищает файлы с учетными данными и оберегает инструкционные файлы от несанкционированных изменений агентами. Работает без зависимости от LLM, используя регулярные выражения на уровне инструментов.

OpenClawRadar
Атаки с маскировкой домена обходят детекторы в многолетних LLM-системах
Безопасность

Атаки с маскировкой домена обходят детекторы в многолетних LLM-системах

Новое исследование показывает, что инъекционные полезные нагрузки, адаптированные под словарь предметной области, обходят детекцию: IDR упал с 93.8% до 9.7%. Многоагентные дебаты усиливают атаки. Llama Guard 3 не обнаруживает ни одной полезной нагрузки.

OpenClawRadar