Аудит безопасности выявил уязвимости в экосистеме навыков OpenClaw.

✍️ OpenClawRadar📅 Опубликовано: 22 марта 2026 г.🔗 Source
Аудит безопасности выявил уязвимости в экосистеме навыков OpenClaw.
Ad

Обнаружены уязвимости безопасности OpenClaw

Детальный аудит безопасности кодовой базы OpenClaw и библиотеки навыков выявил несколько проблем безопасности, о которых разработчикам следует знать при запуске системы в производственных средах.

Документированные CVE и эксплуатация

Аудит выявил 8 задокументированных уязвимостей и эксплойтов (CVE), включая:

  • Выполнение произвольного кода через непроверенные навыки
  • Кражу учетных данных через инъекцию навыков
  • Извлечение промптов из ненадежных входных данных

Некоторые из этих уязвимостей активно эксплуатировались, согласно репозиторию раскрытия уязвимостей.

Проблемы безопасности библиотеки навыков

Общий репозиторий навыков содержит более 900 навыков. Статический анализ показал:

  • Примерно 15% демонстрируют подозрительное сетевое поведение (отправка данных на неизвестные домены)
  • Атаки с подменой зависимостей в популярных навыках
  • Навыки, которые тихо выгружают переменные окружения

Хотя такая картина не уникальна для OpenClaw — она характерна для любой системы плагинов/навыков, выполняющей непроверенный код — аудитор отметил, что это удивительно, учитывая позиционирование как "безопасного саморазмещаемого" решения.

Ad

Альтернативный подход к реализации

Аудитор перешел на минимальную среду выполнения на основе Rust, которая работает локально на Ollama с использованием qwen2.5:14b. Этот подход устраняет экосистему плагинов и общие навыки, фокусируясь только на необходимых примитивах для их случая использования.

Новая архитектура использует планировщик задач, который делегирует сложные задачи Claude Code, сохраняя их изолированными от основного цикла. Эта изоляция предотвращает доступ постоянного агента-компаньона к поверхностям атаки вне контроля разработчика.

Миграция заняла примерно 48 часов для реализации базовой функциональности, при этом основной сложностью была архитектурная переработка парадигм "постоянный компаньон" и "инструмент по требованию".

Рекомендации по безопасности

Для разработчиков, запускающих OpenClaw в производственной среде:

  • Тщательно проверяйте свои навыки
  • Ограничьте разрешения на выполнение навыков
  • Предполагайте, что любой ненадежный навык может выполнить любое действие, доступное вашему агенту
  • Отдавайте приоритет моделированию угроз, а не богатству функций

📖 Read the full source: r/LocalLLaMA

Ad

👀 Смотрите также

Google TIG сообщает о первом в реальных условиях эксплойте для нулевого дня, созданном ИИ
Безопасность

Google TIG сообщает о первом в реальных условиях эксплойте для нулевого дня, созданном ИИ

Группа угроз Google выявила субъект угрозы, использующий эксплойт zero-day, разработанный, как считается, с помощью ИИ, что стало первым наблюдением использования ИИ в наступательных целях для эксплуатации уязвимостей zero-day.

OpenClawRadar
Кейлгард: Открытый сканер безопасности для экземпляров OpenClaw
Безопасность

Кейлгард: Открытый сканер безопасности для экземпляров OpenClaw

Caelguard — это сканер безопасности с открытым исходным кодом, созданный для OpenClaw, который выполняет 22 проверки вашего экземпляра, включая изоляцию Docker, ограничение разрешений инструментов и проверку цепочки поставок навыков. Он выставляет оценку из 140 баллов с буквенным обозначением и предоставляет конкретные шаги по устранению проблем.

OpenClawRadar
Пользователь сообщает, что Claude Code продолжает вести журнал сеансов после отзыва, служба поддержки молчит 2 недели
Безопасность

Пользователь сообщает, что Claude Code продолжает вести журнал сеансов после отзыва, служба поддержки молчит 2 недели

Пользователь Claude Code сообщает, что журналы сеансов продолжали появляться после отзыва доступа, а служба поддержки Anthropic не отвечала в течение двух недель. Журналы включали такие области, как user:file_upload, user:ccr_inference и user:sessions:claude_code.

OpenClawRadar
Безопасность API-ключа OpenClaw: что нужно знать об управляемом хостинге и TEE
Безопасность

Безопасность API-ключа OpenClaw: что нужно знать об управляемом хостинге и TEE

Пост на Reddit разбирает риски передачи ключа API Anthropic управляемому хостингу OpenClaw и объясняет, как TEE (Intel TDX) может изолировать ключи на уровне оборудования.

OpenClawRadar