Автори статті Transformer переосмислюють омара, прощаючись з вразливістю OpenClaw

Автор трансформерів Ілля Полосухін переписав OpenClaw на Rust, випустивши безпечну версію AI-агента IronClaw, яка вирішує проблему витоку облікових даних на рівні архітектури

Звідси | Квантовий біт

Скільки крабів у мережі Інтернет бігають голими?

AI-агенти з вашими паролями та API-ключами відкрито доступні всій мережі.

Автор трансформерів Ілля Полосухін не міг залишитися осторонь. Він почав з нуля переписувати безпечну версію краба: IronClaw.

IronClaw наразі відкритий на GitHub, доступні інсталяційні пакети для macOS, Linux та Windows, підтримується локальне розгортання та хостинг у хмарі. Проєкт швидко розвивається, вже доступна версія v0.15.0 у двійковому файлі.

Полосухін (далі — Бурячок) також відкрив тему на Reddit, відповідаючи на запитання, і увага до нього дуже висока.

01 OpenClaw став популярним, але й “загорівся”

Сам Бурячок був одним із перших користувачів OpenClaw і назвав це технологією, яку він чекав 20 років.

Вона вже змінила мій спосіб взаємодії з обчисленнями.

Однак безпека OpenClaw — справжня катастрофа: можливість віддаленого виконання коду одним натисканням, інжекція підказок, крадіжка паролів через зловмисні навички — ці вразливості були викриті в екосистемі OpenClaw.

Більше 25 000 публічних інстанцій без належного захисту були відкриті в мережі, і експерти з безпеки назвали це “сміттєвим пожежним безпековим сміттєзвалищем” (security dumpster fire).

Корінь проблеми — у самій архітектурі.

Коли користувач передає свій Bearer Token поштової скриньки OpenClaw, він одразу потрапляє на сервер постачальника LLM.

Бурячок у Reddit зазначив, що це означає:

Вся ваша інформація, навіть ті дані, на які ви не давали явної згоди, можуть бути доступні будь-якому співробітнику компанії. Це стосується й даних вашого роботодавця. Не кажу, що компанії мають злі наміри, але реальність така: користувачі позбавлені справжньої приватності.

Він наголошує, що навіть заради зручності не варто ризикувати безпекою та приватністю себе й родини.

02 Повністю переписати все на Rust з нуля

IronClaw — це повна переписана на Rust версія OpenClaw.

Мовою Rust завдяки безпечності пам’яті можна кардинально позбавитися таких класичних вразливостей, як буферні переповнення, що особливо важливо для систем, що обробляють приватні ключі та облікові дані користувачів.

У безпечній архітектурі IronClaw побудовано чотири рівні захисту.

Перший — гарантії безпеки пам’яті від Rust.

Другий — ізоляція у WebAssembly (WASM), усі сторонні інструменти та AI-генерований код працюють у окремих контейнерах WebAssembly, і навіть якщо один з них зловмисний, його шкода обмежена межами контейнера.

Третій — зашифрований сейф для облікових даних, усі API-ключі та паролі зберігаються за допомогою AES-256-GCM, кожен обліковий запис має політику використання, наприклад, дозволяєся лише для певних доменів.

Четвертий — довірене виконавче середовище (TEE), яке ізолює дані на рівні апаратного забезпечення, навіть постачальник хмарних послуг не має доступу до чутливих даних.

Найважливіше у цій системі — самі великі моделі ніколи не контактують із первинними обліковими даними.

Облікові дані передаються лише тоді, коли агент має взаємодіяти з зовнішніми сервісами, і вони вводяться на межі мережі.

Бурячок навів приклад: навіть якщо модель піддається інжекції підказок і намагається передати користувацький Google OAuth токен зловмиснику, рівень збереження облікових даних відразу відхилить таку спробу, зафіксує лог і сповістить користувача.

Однак спільнота розробників все ще має сумніви: адже понад 2000 публічних інстанцій OpenClaw були атаковані, і багато зловмисних навичок існує. Чи не повториться історія з IronClaw?

Бурячок відповідає, що архітектура IronClaw вже з кореня закриває основні вразливості OpenClaw. Облікові дані завжди зберігаються зашифрованими і ніколи не контактують із LLM, сторонні навички не можуть виконувати скрипти на хості, лише у контейнерах.

Навіть при доступі через CLI для розшифрування потрібен системний ключ користувача, і сам ключ без сенсу.

Він також додав, що з наближенням стабільної версії команда планує провести тестування з червоною командою та залучити фахівців із безпеки.

Щодо проблеми інжекції підказок, яка вважається однією з найскладніших у галузі, Бурячок запропонував більш детальний підхід.

Зараз IronClaw використовує евристичні правила для виявлення шаблонів, але у майбутньому планується розгортання невеликого класифікатора мов, що оновлюється, для ідентифікації інжекцій.

Він також визнає, що інжекція підказок може не лише красти облікові дані, а й безпосередньо змінювати кодову базу користувача або надсилати зловмисні повідомлення через комунікаційні інструменти.

Для протидії цим атакам потрібна більш розумна стратегія, здатна аналізувати поведінку агентів без перегляду вхідних даних, і “потрібно більше роботи, запрошуємо спільноту долучатися”.

Питання локального протистояння та хмарних рішень.

Бурячок вважає, що чисто локальне розгортання має очевидні обмеження: при вимкненні пристрою агент припиняє роботу, мобільні пристрої мають високий енергоспоживання, довгі задачі важко виконувати.

Він вважає, що конфіденційне хмарне рішення — найкращий компроміс, що забезпечує приватність, близьку до локальної, і водночас вирішує проблему “постійної онлайн-діяльності”.

Також він зазначив один нюанс: користувач може налаштувати політики, наприклад, автоматично додавати додаткові заходи безпеки під час міжнародних поїздок, щоб запобігти несанкціонованому доступу.

03 Більша амбіція

Бурячок — не просто відкритий розробник.

У 2017 році він був одним із восьми співавторів статті “Attention Is All You Need”, яка заклала основу сучасних великих мовних моделей.

Хоча у списку авторів він був останнім, у примітці зазначено: “Рівний внесок. Порядок випадковий.”

Та вже того ж року він покинув Google і заснував NEAR Protocol, прагнучи об’єднати AI та блокчейн.

За цим стоїть стратегічне бачення NEAR — User-Owned AI, тобто AI, що належить користувачам.

У цьому баченні користувачі повністю контролюють свої дані та активи, а AI-агенти у довіреному середовищі виконують завдання за їхнім дорученням.

NEAR вже створив хмарну платформу для AI та децентралізований ринок GPU, а IronClaw — це рушійна частина цієї системи.

Бурячок навіть розробив ринок для взаємної найму агентів.

На платформі market.near.ai користувачі можуть реєструвати свої спеціалізовані агенти, і з накопиченням репутації вони отримують більше високорівневих завдань.

Коли його запитали, як звичайним людям адаптуватися до епохи AI за п’ять років, Бурячок порадив швидше перейти на роботу з AI-агентами, навчившись довіряти їм автоматизацію всього робочого процесу.

Ця ідея не з’явилася раптово: ще у 2017 році, створюючи NEAR AI, він говорив всім, що “у майбутньому вам залишиться лише спілкуватися з комп’ютером, писати код уже не потрібно”.

Тоді це здавалося божевіллям.

Минуло дев’ять років — і це стає реальністю.

“AI-агенти — це кінцевий інтерфейс людського спілкування з усім онлайн,” — писав Полосухін, — “але зробімо його безпечним.”