Подход к безопасности OpenClaw с использованием LLM-маршрутизатора и приватного обмена zrok

Разработчик подробно описал свой подход к запуску OpenClaw и маршрутизатора LLM внутри среды VM+Kubernetes одной командой, уделяя особое внимание решению проблем безопасности вокруг агентских систем типа "маленький лобстер".
Проблема безопасности и первоначальный подход
Проект начался с опасений по поводу безопасности агентских систем, подобных OpenClaw. Разработчик отмечает, что одной только изоляции (sandboxing) недостаточно для решения фундаментальной проблемы безопасности: пока у агента есть права на выполнение, простая инъекция навыка может вызвать что-то вроде printenv и раскрыть все внедрённые API-ключи. Удаление прав на выполнение лишило бы около 90% функциональности, а без внедрения ключа API для LLM агент вообще не сможет обращаться к модели.
Решение с маршрутизатором LLM
Изначально разработчик рассматривал использование сервисной сетки (service mesh) с сайдкаром для обработки инъекции заголовков аутентификации, но принудительное использование HTTPS в OpenClaw сделало это непрактичным. Вместо этого он перешёл на использование маршрутизатора LLM, который позволяет внедрять API-ключи на уровне маршрутизатора. Этот подход даёт дополнительное преимущество, позволяя пользователям проверять журналы разговоров и создавать собственные плагины мониторинга, например, используя Claude Code для наблюдения за агентом.
Удалённый доступ через zrok
Ещё одной задачей была интеграция с коммуникационными приложениями, такими как Slack или Telegram, что требует внедрения токенов для удалённого доступа. Решение использует приватный обмен zrok, позволяя удалённому хосту получить доступ к админ-чату агента через приватный обмен без использования каких-либо мессенджеров. Разработчик признаёт, что это ограничивает некоторые возможности — это компромисс. Полная поддержка коммуникационных приложений в этой модели потребовала бы запуска шлюза и агента в отдельных контейнерах, что ещё не реализовано.
Детали проекта
Проекту дано китайское название "Xiao Long Xia" (小笼虾), где иероглиф "笼" взят из "xiaolongbao" (пельмени с супом). Реализация запускает OpenClaw и маршрутизатор LLM внутри среды VM+Kubernetes одной командой.
📖 Read the full source: r/openclaw
👀 Смотрите также

Предупреждение о безопасности: Скрипт ClawProxy похитил API-ключи, что привело к значительному счету от OpenRouter
Разработчик установил закрытый исходный код скрипта ClawProxy от пользователя Reddit на изолированную систему WSL Ubuntu 24.04, который украл его ключ API OpenRouter и использовал его через Google Vertex API, чтобы накрутить крупный счёт на Opus 4.6 за ночь.

Claude Code CVE-2026-39861: Побег из изолированной среды через симлинк
Уязвимость высокой степени серьезности в песочнице Claude Code позволяет произвольную запись файлов за пределы рабочей области через симлинки, что может привести к выполнению кода.

ЭктоКоготь: Инструмент безопасности для агентов OpenClaw с доступом к терминалу
EctoClaw — это бесплатный инструмент безопасности с открытым исходным кодом для OpenClaw, который проверяет каждое действие четыре раза перед выполнением, запускает действия в защищённой песочнице и записывает всё с доказательствами.

От фермы до кода: Как фермер создал защиту в реальном времени с открытым исходным кодом для OpenClaw
Узнайте, как фермер, не имея опыта в разработке, создал систему защиты с открытым исходным кодом для OpenClaw, используя несколько AI-кодовагентов всего за 12 часов.