Аудит безопасности выявил уязвимости в экосистеме навыков OpenClaw.
Обнаружены уязвимости безопасности OpenClaw
Детальный аудит безопасности кодовой базы OpenClaw и библиотеки навыков выявил несколько проблем безопасности, о которых разработчикам следует знать при запуске системы в производственных средах.
Документированные CVE и эксплуатация
Аудит выявил 8 задокументированных уязвимостей и эксплойтов (CVE), включая:
- Выполнение произвольного кода через непроверенные навыки
- Кражу учетных данных через инъекцию навыков
- Извлечение промптов из ненадежных входных данных
Некоторые из этих уязвимостей активно эксплуатировались, согласно репозиторию раскрытия уязвимостей.
Проблемы безопасности библиотеки навыков
Общий репозиторий навыков содержит более 900 навыков. Статический анализ показал:
- Примерно 15% демонстрируют подозрительное сетевое поведение (отправка данных на неизвестные домены)
- Атаки с подменой зависимостей в популярных навыках
- Навыки, которые тихо выгружают переменные окружения
Хотя такая картина не уникальна для OpenClaw — она характерна для любой системы плагинов/навыков, выполняющей непроверенный код — аудитор отметил, что это удивительно, учитывая позиционирование как "безопасного саморазмещаемого" решения.
Альтернативный подход к реализации
Аудитор перешел на минимальную среду выполнения на основе Rust, которая работает локально на Ollama с использованием qwen2.5:14b. Этот подход устраняет экосистему плагинов и общие навыки, фокусируясь только на необходимых примитивах для их случая использования.
Новая архитектура использует планировщик задач, который делегирует сложные задачи Claude Code, сохраняя их изолированными от основного цикла. Эта изоляция предотвращает доступ постоянного агента-компаньона к поверхностям атаки вне контроля разработчика.
Миграция заняла примерно 48 часов для реализации базовой функциональности, при этом основной сложностью была архитектурная переработка парадигм "постоянный компаньон" и "инструмент по требованию".
Рекомендации по безопасности
Для разработчиков, запускающих OpenClaw в производственной среде:
- Тщательно проверяйте свои навыки
- Ограничьте разрешения на выполнение навыков
- Предполагайте, что любой ненадежный навык может выполнить любое действие, доступное вашему агенту
- Отдавайте приоритет моделированию угроз, а не богатству функций
📖 Read the full source: r/LocalLLaMA
👀 Смотрите также
Google TIG сообщает о первом в реальных условиях эксплойте для нулевого дня, созданном ИИ
Группа угроз Google выявила субъект угрозы, использующий эксплойт zero-day, разработанный, как считается, с помощью ИИ, что стало первым наблюдением использования ИИ в наступательных целях для эксплуатации уязвимостей zero-day.
Кейлгард: Открытый сканер безопасности для экземпляров OpenClaw
Caelguard — это сканер безопасности с открытым исходным кодом, созданный для OpenClaw, который выполняет 22 проверки вашего экземпляра, включая изоляцию Docker, ограничение разрешений инструментов и проверку цепочки поставок навыков. Он выставляет оценку из 140 баллов с буквенным обозначением и предоставляет конкретные шаги по устранению проблем.
Пользователь сообщает, что Claude Code продолжает вести журнал сеансов после отзыва, служба поддержки молчит 2 недели
Пользователь Claude Code сообщает, что журналы сеансов продолжали появляться после отзыва доступа, а служба поддержки Anthropic не отвечала в течение двух недель. Журналы включали такие области, как user:file_upload, user:ccr_inference и user:sessions:claude_code.
Безопасность API-ключа OpenClaw: что нужно знать об управляемом хостинге и TEE
Пост на Reddit разбирает риски передачи ключа API Anthropic управляемому хостингу OpenClaw и объясняет, как TEE (Intel TDX) может изолировать ключи на уровне оборудования.