Проблема униформированной охраны: Почему агентские песочницы нуждаются в идентичности, а не просто в политике
Проблема "Однообразного охранника" выявляет критический недостаток в песочницах AI-агентов, таких как openshell от Nemoclaw: политики безопасности привязаны к бинарным файлам, а не к агентам. Это позволяет вредоносному ПО, например штамму Shai-Hulud, жить за счет земли, повторно используя те же бинарные файлы, которые разрешено выполнять вашему агенту. Предлагаемое решение — открытый слой идентификации агентов под названием ZeroID, который сейчас доступен как навык на ClawHub и как sidecar для внешнего управления.
Ключевая проблема: Политики на уровне бинарных файлов
Песочница openshell от Nemoclaw применяет политики на уровне бинарных файлов. Например, если ваш агент может запускать /usr/bin/curl, то любой процесс с этим бинарным файлом, включая вредоносное ПО, может его выполнить. Это означает, что вредоносная нагрузка может загружать и выполнять произвольный код, используя разрешенные инструменты агента. Песочница не предлагает механизма для различения легитимного действия агента и действия вредоносного ПО, использующего тот же бинарный файл.
Решение: Идентификация на основе агента
ZeroID переносит безопасность с политик на уровне бинарных файлов на политики на уровне агентов. Каждый агент получает криптографическую идентификацию, и политики применяются на основе этой идентификации. Это предотвращает использование вредоносным ПО разрешенных агенту бинарных файлов, поскольку у вредоносного ПО отсутствует идентичность агента. Слой идентификации может работать в двух режимах:
- Навык ClawHub: Установите ZeroID как навык на ClawHub — не требуется изменений в инфраструктуре.
- Sidecar-интеграция: Запустите ZeroID как sidecar-процесс для внешнего управления, перехватывая системные вызовы и проверяя идентификацию перед выполнением.
Детали реализации
Согласно источнику, ZeroID имеет открытый исходный код и в настоящее время интегрируется с Openclaw. Команда приглашает сообщество протестировать его и помочь расширить интеграцию Openclaw. Номера версий или фрагменты кода в источнике не предоставлены, но архитектура sidecar предполагает легковесный демон, подключающийся к среде выполнения агента.
Для кого это
Для разработчиков, запускающих AI-агенты кодинга на Openclaw, которым нужна более надежная изоляция от вредоносного ПО, обходящего песочницу на уровне бинарных файлов.
📖 Читайте полный источник: r/openclaw
👀 Смотрите также
Команды аудита безопасности OpenClaw: отчеты об уязвимостях на простом английском языке
Пользователь Reddit поделился промптом для OpenClaw CLI, который запускает глубокую проверку безопасности и выводит результаты на простом английском языке, указывая, что именно уязвимо, оценки серьёзности и точные исправления в конфигурации.
Оценка AISI демонстрирует кибервозможности Claude Mythos Preview в CTF и многошаговых атаках.
Институт искусственного интеллекта и безопасности оценил предварительную версию Claude Mythos от Anthropic, обнаружив, что она успешно выполнила 73% экспертных заданий типа "захват флага" и решила симуляцию корпоративной сетевой атаки из 32 шагов в 3 из 10 попыток.
BlindKey: Слепая инъекция учетных данных для ИИ-агентов
BlindKey — это инструмент безопасности, который предотвращает доступ агентов ИИ к открытым API-ключам, используя зашифрованные токены хранилища и локальный прокси. Агенты ссылаются на токены, такие как bk://stripe, а прокси внедряет реальный ключ во время запроса.
Nullgaze: Выпущен открытую исходный код сканер безопасности с поддержкой ИИ.
Nullgaze — это новый открытый проект, поддерживаемый ИИ, который сканирует безопасность и выявляет уязвимости, специфичные для кода, сгенерированного ИИ, с почти нулевым количеством ложных срабатываний.