Анализатор навыков теперь доступен на ClawHub с установкой одной командой.

OpenClaw Skill Analyzer, сканер безопасности для AI-навыков, теперь доступен на ClawHub с упрощенным процессом установки. Ранее доступный только на GitHub, теперь пользователи могут установить его одной командой.
Установка и возможности
Чтобы установить Skill Analyzer из ClawHub, выполните:
npx clawhub@latest install openclaw-skill-analyzerИнструмент проверяет любую папку навыков на наличие потенциально вредоносных паттернов, включая инъекцию промптов, кражу учетных данных, эксфильтрацию данных, бэкдоры и обфускацию. Он предоставляет оценку риска перед установкой и включает более 40 правил обнаружения в 12 категориях.
Функции безопасности
Ключевой функцией безопасности является поддержка Docker-песочницы. Проверки могут выполняться внутри контейнера Docker с:
- Отсутствием доступа к сети
- Файловой системой только для чтения
- Ограничением памяти 256 МБ
- Уничтожением контейнера после каждой проверки
Это изолирует потенциально вредоносные навыки от вашей системы. В README приведена однострочная Docker-команда для такого выполнения в песочнице.
Статус разработки
Инструмент активно поддерживается с обновлениями при обнаружении новых вредоносных паттернов в реальных условиях. Разработчик приветствует сообщения о паттернах, которые инструмент еще не обнаруживает.
Примечание: ClawHub может показывать предупреждение при установке Skill Analyzer, потому что сканер помечает свои собственные паттерны обнаружения.
📖 Read the full source: r/openclaw
👀 Смотрите также

ClawGuard: Открытый шлюз безопасности для защиты учетных данных API OpenClaw
ClawGuard — это шлюз безопасности, который располагается между AI-агентами и внешними API, используя фиктивные учетные данные на машине агента, в то время как реальные токены хранятся отдельно. Он обеспечивает подтверждение через Telegram для чувствительных вызовов и ведет журнал аудита запросов.

Открытая площадка для тестирования на проникновение ИИ-агентов с опубликованными уязвимостями.
Fabraix открыла исходный код живой среды для стресс-тестирования защит ИИ-агентов с помощью состязательных испытаний. Каждое испытание разворачивает живого агента с реальными инструментами и опубликованными системными промптами, а выигрышные транскрипты диалогов и логи защитных механизмов документируются публично.

API AviationWeather.gov содержит попытку внедрения промпта 'Stop Claude' (инъекция промпта).
Пользователь сообщает, что API AviationWeather.gov правительства США возвращает текст 'Stop Claude' в своих ответах при доступе через Claude CoWork, что вызывает уведомление системы безопасности о попытках инъекции промптов.

Команды аудита безопасности OpenClaw: отчеты об уязвимостях на простом английском языке
Пользователь Reddit поделился промптом для OpenClaw CLI, который запускает глубокую проверку безопасности и выводит результаты на простом английском языке, указывая, что именно уязвимо, оценки серьёзности и точные исправления в конфигурации.