Авторы статьи Transformer воссоздают лобстера, прощаясь с уязвимостью OpenClaw в режиме裸奔

Transformer автор Illia Polosukhin переписал OpenClaw на Rust, выпустив безопасную версию AI-агента IronClaw, решая уязвимости утечки данных на архитектурном уровне

Источник | Quantum Bit

Сколько раков на просторах интернета бегают голышом?

AI-агенты с вашими паролями и API-ключами выставлены на всеобщее обозрение.

Автор Transformer Illia Polosukhin не смог оставить это без внимания. Он полностью переработал безопасную версию рака: IronClaw.

IronClaw уже открыт на GitHub, доступны установочные пакеты для macOS, Linux и Windows, поддерживается локальное развертывание и облачный хостинг. Проект находится в активной стадии быстрого развития, бинарные файлы версии v0.15.0 уже доступны для скачивания.

Polosukhin (далее — Буратино) также разместил пост на Reddit, отвечая на все вопросы, интерес к нему высокий.

01 OpenClaw стал популярным, но и “загорелся”

Сам Буратино — один из ранних пользователей OpenClaw, считает это технологией, которой он ждал 20 лет.

Она уже изменила мой способ взаимодействия с вычислениями.

Однако безопасность OpenClaw оставляет желать лучшего: уязвимости удаленного выполнения кода одним кликом, инъекции подсказок, кража паролей через злонамеренные навыки — все эти проблемы вскрылись в экосистеме OpenClaw.

Более 25 000 публичных инстансов работают без должных мер безопасности, и эксперты называют это “пожаром мусорных контейнеров безопасности” (security dumpster fire).

Корень проблемы — сама архитектура.

Когда пользователь передает свой Bearer Token для электронной почты OpenClaw, он сразу же отправляется на сервер поставщика LLM.

Буратино отметил в Reddit, что это значит:

Вся ваша информация, даже те данные, на которые у вас нет явного разрешения, могут быть доступны любому сотруднику компании. То же касается данных вашего работодателя. Не скажу, что у этих компаний злой умысел, но в реальности у пользователей нет настоящей приватности.

Он подчеркнул, что никакая удобность не стоит риска для собственной и семейной безопасности и приватности.

02 Полностью переписываем всё на Rust

IronClaw — полностью переписанный на Rust аналог OpenClaw.

Преимущества Rust — безопасность памяти, которая кардинально устраняет такие уязвимости, как переполнение буфера, что критично для систем, обрабатывающих приватные ключи и пользовательские данные.

В плане безопасности IronClaw реализует четырехуровневую защиту.

Первый уровень — встроенная гарантия безопасности памяти от Rust.

Второй — изоляция в WebAssembly (WASM), все сторонние инструменты и AI-скрипты работают внутри отдельного контейнера WASM, что ограничивает их вредоносное воздействие.

Третий — зашифрованное хранилище для учетных данных, все API-ключи и пароли хранятся с помощью AES-256-GCM, каждый ключ связан с политикой использования, которая ограничивает его применение только для определенных доменов.

Четвертый — доверенная среда выполнения (TEE), использующая аппаратную изоляцию для защиты данных, даже облачные провайдеры не смогут получить доступ к чувствительной информации.

Самое важное в этой архитектуре — сам модельный ядро никогда не контактирует с исходными учетными данными.

Только при необходимости взаимодействия с внешними сервисами, учетные данные внедряются в сеть.

Буратино привел пример: даже если модель подвергнется инъекции подсказки, пытаясь отправить OAuth-токен пользователя злоумышленнику, слой хранения учетных данных откажет в такой операции, зафиксирует лог и предупредит пользователя.

Тем не менее, сообщество разработчиков не полностью уверено: в OpenClaw было более 2000 публичных инстансов, подвергшихся атакам, и много злонамеренных навыков. Не станет ли IronClaw мишенью для повторных атак при популярности?

Буратино ответил, что архитектура IronClaw изначально устранила основные уязвимости OpenClaw. Учетные данные всегда хранятся зашифрованными и никогда не контактируют с LLM, сторонние навыки не могут запускать скрипты на хосте — только внутри контейнера.

Даже при доступе через CLI, для расшифровки требуется системный ключ пользователя, а сам ключ зашифрован и бесполезен без доступа к нему.

Он также отметил, что по мере стабилизации основной версии команда планирует провести тесты на проникновение и профессиональные аудиты безопасности.

Что касается инъекций подсказок — широко признанной проблемы в индустрии — Буратино предложил более детальный подход.

В настоящее время IronClaw использует эвристические правила для обнаружения шаблонов, в будущем планируется внедрить легкий классификатор языка, который сможет автоматически выявлять инъекции.

Он также признал, что инъекции могут не только похищать учетные данные, но и напрямую изменять кодовую базу пользователя или отправлять вредоносные сообщения через коммуникационные инструменты.

Для борьбы с этим потребуется более интеллектуальная система, способная анализировать поведение агента без просмотра входных данных — “еще много работы, приглашаем сообщество к участию”.

Некоторые спрашивают о выборе между локальным и облачным развертыванием.

Буратино считает, что полностью локальное решение имеет очевидные ограничения: при выключении устройства агент перестает работать, мобильные устройства не справляются с энергопотреблением, сложные долгосрочные задачи невозможно выполнить.

Он считает, что “конфиденциальное облако” — лучший компромисс, обеспечивающий приватность, близкую к локальной, и при этом решающий проблему “постоянной онлайн-работы”.

Также он отметил возможность настройки стратегий, например, при пересечении границ в путешествии автоматически добавлять дополнительные меры безопасности, чтобы предотвратить несанкционированный доступ.

03 Большие амбиции

Буратино — не просто разработчик с открытым исходным кодом.

В 2017 году он стал одним из восьми соавторов знаменитой статьи “Attention Is All You Need”, которая заложила основу современных больших языковых моделей.

Хотя в списке авторов он стоит последним, в сноске указано: “Равное участие. Порядок случайный.”

В том же году он покинул Google и создал NEAR Protocol, чтобы объединить AI и блокчейн.

За IronClaw стоит более масштабная стратегия NEAR: пользовательский AI (User-Owned AI).

В рамках этого видения, пользователи полностью контролируют свои данные и активы, а AI-агенты в доверенной среде выполняют задачи за них.

NEAR уже создала облачную платформу для AI и децентрализованный рынок GPU, а IronClaw — это исполнительный слой этой системы.

Буратино даже разработал рынок, где агенты могут нанимать друг друга.

На платформе market.near.ai пользователи могут регистрировать свои специализированные агенты, и по мере накопления репутации они получат более ценные задания.

Когда его спросили, как обычным людям адаптироваться к эпохе AI в ближайшие пять лет, Буратино посоветовал как можно скорее перейти на работу с AI-агентами, научиться доверять им автоматизацию полного рабочего процесса.

Это мнение не появилось внезапно. Еще в 2017 году, создавая NEAR AI, он говорил всем: “В будущем вам нужно только общаться с компьютером, писать код уже не потребуется.”

Тогда казалось, что он сходит с ума, говорили, что это бред.

Прошло девять лет, и это становится реальностью.

“AI-агенты — это конечный интерфейс взаимодействия человека со всем онлайн-миром,” — пишет Polosukhin, — “но сделаем его безопасным.”