Аудит безопасности выявил уязвимости в экосистеме навыков OpenClaw.

Обнаружены уязвимости безопасности OpenClaw
Детальный аудит безопасности кодовой базы OpenClaw и библиотеки навыков выявил несколько проблем безопасности, о которых разработчикам следует знать при запуске системы в производственных средах.
Документированные CVE и эксплуатация
Аудит выявил 8 задокументированных уязвимостей и эксплойтов (CVE), включая:
- Выполнение произвольного кода через непроверенные навыки
- Кражу учетных данных через инъекцию навыков
- Извлечение промптов из ненадежных входных данных
Некоторые из этих уязвимостей активно эксплуатировались, согласно репозиторию раскрытия уязвимостей.
Проблемы безопасности библиотеки навыков
Общий репозиторий навыков содержит более 900 навыков. Статический анализ показал:
- Примерно 15% демонстрируют подозрительное сетевое поведение (отправка данных на неизвестные домены)
- Атаки с подменой зависимостей в популярных навыках
- Навыки, которые тихо выгружают переменные окружения
Хотя такая картина не уникальна для OpenClaw — она характерна для любой системы плагинов/навыков, выполняющей непроверенный код — аудитор отметил, что это удивительно, учитывая позиционирование как "безопасного саморазмещаемого" решения.
Альтернативный подход к реализации
Аудитор перешел на минимальную среду выполнения на основе Rust, которая работает локально на Ollama с использованием qwen2.5:14b. Этот подход устраняет экосистему плагинов и общие навыки, фокусируясь только на необходимых примитивах для их случая использования.
Новая архитектура использует планировщик задач, который делегирует сложные задачи Claude Code, сохраняя их изолированными от основного цикла. Эта изоляция предотвращает доступ постоянного агента-компаньона к поверхностям атаки вне контроля разработчика.
Миграция заняла примерно 48 часов для реализации базовой функциональности, при этом основной сложностью была архитектурная переработка парадигм "постоянный компаньон" и "инструмент по требованию".
Рекомендации по безопасности
Для разработчиков, запускающих OpenClaw в производственной среде:
- Тщательно проверяйте свои навыки
- Ограничьте разрешения на выполнение навыков
- Предполагайте, что любой ненадежный навык может выполнить любое действие, доступное вашему агенту
- Отдавайте приоритет моделированию угроз, а не богатству функций
📖 Read the full source: r/LocalLLaMA
👀 Смотрите также

Атаки с маскировкой домена обходят детекторы в многолетних LLM-системах
Новое исследование показывает, что инъекционные полезные нагрузки, адаптированные под словарь предметной области, обходят детекцию: IDR упал с 93.8% до 9.7%. Многоагентные дебаты усиливают атаки. Llama Guard 3 не обнаруживает ни одной полезной нагрузки.

Уязвимость в GitHub Copilot CLI позволяет выполнять вредоносный код через инъекцию в промпт
Уязвимость в GitHub Copilot CLI позволяет выполнять произвольные команды оболочки через косвенную инъекцию промптов без одобрения пользователя. Злоумышленники могут создавать команды, которые обходят проверку и немедленно выполняют вредоносное ПО на компьютере жертвы.

Защитите и защитите OpenClaw всего за 2 минуты с помощью изоляции на основе Nono Kernel.
Пользователи OpenClaw теперь могут наслаждаться улучшенной безопасностью без ущерба для производительности благодаря изоляции на основе ядра Nono — быстрому и эффективному решению, которое занимает всего две минуты.

Microsoft с открытым исходным кодом взломаны: вредоносное ПО для кражи паролей атакует репозитории AI-разработчиков
Хакеры внедрили кражу паролей в как минимум 70 репозиториев Microsoft на GitHub, нацелившись на AI-разработчиков, использующих Claude Code, Gemini CLI и VS Code. Это повторная компрометация проекта Durable Task.