Анализатор навыков теперь доступен на ClawHub с установкой одной командой.
OpenClaw Skill Analyzer, сканер безопасности для AI-навыков, теперь доступен на ClawHub с упрощенным процессом установки. Ранее доступный только на GitHub, теперь пользователи могут установить его одной командой.
Установка и возможности
Чтобы установить Skill Analyzer из ClawHub, выполните:
npx clawhub@latest install openclaw-skill-analyzerИнструмент проверяет любую папку навыков на наличие потенциально вредоносных паттернов, включая инъекцию промптов, кражу учетных данных, эксфильтрацию данных, бэкдоры и обфускацию. Он предоставляет оценку риска перед установкой и включает более 40 правил обнаружения в 12 категориях.
Функции безопасности
Ключевой функцией безопасности является поддержка Docker-песочницы. Проверки могут выполняться внутри контейнера Docker с:
- Отсутствием доступа к сети
- Файловой системой только для чтения
- Ограничением памяти 256 МБ
- Уничтожением контейнера после каждой проверки
Это изолирует потенциально вредоносные навыки от вашей системы. В README приведена однострочная Docker-команда для такого выполнения в песочнице.
Статус разработки
Инструмент активно поддерживается с обновлениями при обнаружении новых вредоносных паттернов в реальных условиях. Разработчик приветствует сообщения о паттернах, которые инструмент еще не обнаруживает.
Примечание: ClawHub может показывать предупреждение при установке Skill Analyzer, потому что сканер помечает свои собственные паттерны обнаружения.
📖 Read the full source: r/openclaw
👀 Смотрите также
Офлайн-верификатор SBOM для OpenClaw обнаруживает отравленные навыки менее чем за 0,2 секунды.
Разработчик создал оффлайн-инструмент проверки SBOM на Rust, который обнаружил отравленный навык OpenClaw, похищающий SSH-ключи, при этом проверка завершается менее чем за 0,2 секунды без доступа к интернету.
Прокси-уровневая изоляция для обеспечения безопасности локальных API-ключей агента
Разработчик делится подходом к изоляции API-ключей в локальных агентских настройках с использованием Rust-прокси, который заменяет токены-заполнители на реальные учетные данные, предотвращая их раскрытие в памяти агента, логах, контекстных окнах и средах инструментов.
Атака FlyTrap использует "враждебные зонтики" для компрометации автономных дронов на основе камер.
Исследователи из UC Irvine разработали FlyTrap — физическую атаку, использующую раскрашенные зонты для эксплуатации уязвимостей в камерных системах автономного слежения за целями. Атака сокращает дистанцию слежения до опасных уровней, позволяя захватывать дроны, атаковать сенсоры или вызывать физические столкновения.
Результаты проверки безопасности для ИИ-агентов OpenClaw, PicoClaw, ZeroClaw, IronClaw и Minion.
В ходе оценки безопасности пяти ИИ-агентов для написания кода было протестировано 145 атакующих векторов в 12 категориях, включая инъекцию промптов, джейлбрейкинг и эксфильтрацию данных. OpenClaw набрал 77,8/100 с критическими уязвимостями SQL-инъекций, в то время как Minion улучшил результат с 81,2 до 94,4/100 после исправлений.