Аудит безопасности выявил уязвимости в экосистеме навыков OpenClaw.
Обнаружены уязвимости безопасности OpenClaw
Детальный аудит безопасности кодовой базы OpenClaw и библиотеки навыков выявил несколько проблем безопасности, о которых разработчикам следует знать при запуске системы в производственных средах.
Документированные CVE и эксплуатация
Аудит выявил 8 задокументированных уязвимостей и эксплойтов (CVE), включая:
- Выполнение произвольного кода через непроверенные навыки
- Кражу учетных данных через инъекцию навыков
- Извлечение промптов из ненадежных входных данных
Некоторые из этих уязвимостей активно эксплуатировались, согласно репозиторию раскрытия уязвимостей.
Проблемы безопасности библиотеки навыков
Общий репозиторий навыков содержит более 900 навыков. Статический анализ показал:
- Примерно 15% демонстрируют подозрительное сетевое поведение (отправка данных на неизвестные домены)
- Атаки с подменой зависимостей в популярных навыках
- Навыки, которые тихо выгружают переменные окружения
Хотя такая картина не уникальна для OpenClaw — она характерна для любой системы плагинов/навыков, выполняющей непроверенный код — аудитор отметил, что это удивительно, учитывая позиционирование как "безопасного саморазмещаемого" решения.
Альтернативный подход к реализации
Аудитор перешел на минимальную среду выполнения на основе Rust, которая работает локально на Ollama с использованием qwen2.5:14b. Этот подход устраняет экосистему плагинов и общие навыки, фокусируясь только на необходимых примитивах для их случая использования.
Новая архитектура использует планировщик задач, который делегирует сложные задачи Claude Code, сохраняя их изолированными от основного цикла. Эта изоляция предотвращает доступ постоянного агента-компаньона к поверхностям атаки вне контроля разработчика.
Миграция заняла примерно 48 часов для реализации базовой функциональности, при этом основной сложностью была архитектурная переработка парадигм "постоянный компаньон" и "инструмент по требованию".
Рекомендации по безопасности
Для разработчиков, запускающих OpenClaw в производственной среде:
- Тщательно проверяйте свои навыки
- Ограничьте разрешения на выполнение навыков
- Предполагайте, что любой ненадежный навык может выполнить любое действие, доступное вашему агенту
- Отдавайте приоритет моделированию угроз, а не богатству функций
📖 Read the full source: r/LocalLLaMA
👀 Смотрите также
Усиление безопасности OpenClaw: Многоуровневая защита от рисков автономных агентов.
Разработчик модифицировал код OpenClaw, добавив многоуровневый стек безопасности, включающий строгую регулярную защиту, рекурсивный деобфускатор, профиль AppArmor и интеграцию аудита для предотвращения деструктивных команд и утечки данных автономными агентами.
Чат-бот Claude использован при утечке данных мексиканского правительства.
Хакер использовал чат-бот Claude от Anthropic для атаки на несколько государственных агентств Мексики, похитив 150 ГБ данных, включая записи о налогоплательщиках и учетные данные сотрудников. Хакер взломал Claude с помощью промптов, чтобы обойти защитные механизмы и сгенерировать тысячи детальных планов атак.
В репозитории Claude Flow обнаружен троян в файлах skill.md
В репозитории GitHub, содержащем файлы навыков Claude Flow, был обнаружен троян, идентифицированный как JS/CrypoStealz.AE!MTB. Вредоносное ПО активировалось автоматически, когда ИИ-среда разработки открывала папку для чтения файлов markdown.
Приложения на основе ИИ хрупки: почему мелкие изменения нарушают изоляцию данных и права доступа
Разработчики сообщают, что AI-сгенерированные приложения (через Claude Code, Cursor) при небольших изменениях незаметно ломают логин, разрешения и изоляцию данных, потому что AI-модели не понимают изначальных намерений системы, таких как правила владения.