Предупреждение о безопасности для локальных экземпляров OpenClaw без песочницы

Риски безопасности при использовании незащищённых экземпляров OpenClaw
Пост на Reddit в сообществе r/openclaw освещает серьёзные проблемы безопасности для разработчиков, запускающих стандартные экземпляры OpenClaw локально без надлежащей изоляции. В посте это описывается как "самая большая проблема с десктопными агентами на данный момент".
Зафиксированные проблемы
В исходном материале перечислены конкретные инциденты безопасности, которые были замечены:
- Раскрытые API-ключи
- Случайное удаление файлов
- Отправка данных в непредназначенные места
В посте объясняется, что эти проблемы возникают, когда пользователи "передают весь свой компьютер агенту без ограничений". Особо подчёркивается, что простое создание резервных копий не является достаточной защитой, отмечая, что "ваш агент может rm -rf вашу жизнь или раскрыть ваши учётные данные".
Рекомендуемые решения
Источник предлагает два конкретных рекомендации для решения этих проблем безопасности:
- Для тех, кто запускает OpenClaw локально: "Вам необходимо изолировать его рабочее пространство и ограничить его bash-инструменты".
- Для тех, кто не знаком с изоляцией: "Используйте управляемый сервис, такой как Kimi Claw, где безопасность обеспечивается за вас".
Пост завершается прямым предупреждением: "Не учитесь этому на собственном горьком опыте".
📖 Read the full source: r/openclaw
👀 Смотрите также

Google сообщает, что хакерские атаки с использованием ИИ достигли промышленных масштабов за 3 месяца
Группа разведки угроз Google обнаружила, что преступные и государственные группы используют коммерческие модели ИИ (Gemini, Claude, OpenAI) для доработки и масштабирования атак. Одна группа едва не использовала уязвимость нулевого дня для массовой эксплуатации, а другие экспериментируют с незащищенным агентом OpenClaw.

Уязвимости безопасности обнаружены в образовательном приложении, представленном на Lovable.
Исследователь безопасности обнаружил 16 уязвимостей в образовательном приложении, представленном на платформе Lovable, включая критические ошибки в логике аутентификации, которые позволили получить доступ к 18 697 пользовательским записям без авторизации. Приложение набрало более 100 000 просмотров в шоукейсе Lovable и имело реальных пользователей из UC Berkeley, UC Davis и школ по всему миру.

Выход Agent-Drift Security Tool версии 0.1.2: Шаг вперед в области безопасности ИИ
Инструмент безопасности Agent-Drift v0.1.2 теперь доступен, предлагая улучшенные функции безопасности для кодирующих агентов ИИ. Этот обновленный вариант решает ключевые проблемы безопасности в автоматизации.

Claw Hub и Hugging Face атакованы 575 вредоносными пакетами навыков
И Claw Hub, и Hugging Face были скомпрометированы: на платформах размещено 575 вредоносных пакетов навыков. Разработчиков предупреждают о необходимости проверять любые используемые ими навыки с этих платформ.