Авторы статьи Transformer воссоздают лобстера, прощаясь с уязвимостью OpenClaw в режиме裸奔

Откуда | Quantum Bit

Сколько лобстеров в интернете бегают голышом?

ИИ-агенты с вашими паролями и API-ключами выставлены на всеобщее обозрение.

Автор Transformer Илля Полосухин не смог это оставить без внимания. Он создал безопасную версию лобстера: IronClaw, перепроектировав его с нуля.

IronClaw уже открыт на GitHub, доступны установочные пакеты для macOS, Linux и Windows, поддерживается локальная установка и облачное хостинг. Проект находится в стадии активной разработки, бинарные файлы версии v0.15.0 уже доступны для скачивания.

Полосухин (далее — Бодя) также запустил тему на Reddit, отвечая на все вопросы, что привлекло много внимания.

01 OpenClaw стал популярным, но и “загорелся”

Сам Бодя был одним из первых пользователей OpenClaw и считает его технологией, которой он ждал 20 лет.

Это уже изменило мой способ взаимодействия с вычислениями.

Однако безопасность OpenClaw — настоящий кошмар: уязвимости, такие как выполнение кода по одной кнопке, инъекции подсказок, кража паролей через злонамеренные навыки — все это было выявлено в экосистеме.

Более 25 000 публичных инстансов работают без должных мер безопасности и были выставлены в сеть, что эксперты назвали “свалкой безопасности” (security dumpster fire).

Корень проблемы — в архитектуре системы.

Когда пользователь передает OpenClaw свой Bearer Token, он сразу попадает на сервер поставщика LLM.

Бодя отметил на Reddit, что это значит:

Вся ваша информация, даже те данные, на которые у вас нет явного разрешения, могут быть доступны любому сотруднику компании. То же самое касается данных вашего работодателя. Не потому, что у компаний злые намерения, а потому что у пользователей нет реальной приватности.

Он считает, что никакая удобность не стоит риска для безопасности и приватности себя и своих близких.

02 Переписывание с нуля на Rust

IronClaw — полностью переписанный на Rust аналог OpenClaw.

Rust обеспечивает безопасность памяти, что устраняет такие классические уязвимости, как переполнение буфера, что особенно важно при работе с приватными ключами и пользовательскими данными.

В плане безопасности IronClaw построен по четырем уровням защиты:

Первый — встроенные гарантии Rust по безопасности памяти.

Второй — изоляция в WebAssembly (WASM), все сторонние инструменты и AI-генерируемый код работают в отдельном контейнере WASM, что ограничивает их влияние даже при наличии злонамеренного кода.

Третий — зашифрованное хранилище ключей и паролей с AES-256-GCM, каждое хранение связано с политикой, которая ограничивает использование только для определенных доменов.

Четвертый — доверенная среда выполнения (TEE), использующая аппаратную изоляцию для защиты данных, даже от облачных провайдеров.

Самое важное в этой архитектуре — большие модели никогда не имеют доступа к исходным данным.

Только при необходимости взаимодействия с внешними сервисами, креденшалы вставляются в сеть.

Бодя привел пример: даже если модель подвергнется инъекции подсказки, пытаясь отправить Google OAuth токен злоумышленнику, слой хранения данных откажется, зафиксирует это в логах и предупредит пользователя.

Тем не менее, сообщество разработчиков не полностью уверено: в OpenClaw было более 2000 публичных инстансов, подвергшихся атакам, и много злонамеренных навыков. Не станет ли IronClaw мишенью для повторных атак?

Бодя ответил, что архитектура IronClaw изначально устранила основные уязвимости OpenClaw. Креденшалы всегда хранятся в зашифрованном виде и никогда не контактируют с LLM, сторонние навыки не могут запускать скрипты на хосте, только внутри контейнера.

Даже при доступе через CLI, для расшифровки требуется системный ключ пользователя, а сам зашифрованный ключ — бессмысленен без него.

Он также отметил, что по мере стабилизации ядра планируется провести тесты красных команд и профессиональные аудиты безопасности.

Что касается широко известной проблемы инъекции подсказок, Бодя предложил более детальный подход.

В настоящее время IronClaw использует эвристические правила для обнаружения шаблонов, в будущем планируется внедрить небольшой классификатор языка, который сможет распознавать инъекционные паттерны.

Он признает, что инъекции могут не только украсть креденшалы, но и изменить кодовую базу пользователя или отправить вредоносные сообщения через коммуникационные инструменты.

Для борьбы с такими атаками нужна более интеллектуальная система, которая сможет анализировать поведение агента без просмотра входных данных — “еще много работы, ждем вклад сообщества”.

Вопрос о выборе между локальной и облачной установкой.

Бодя считает, что полностью локальное решение имеет очевидные ограничения: при выключении устройства агент перестает работать, мобильные устройства не справляются с энергопотреблением, сложные долгосрочные задачи невозможно выполнить.

Он считает, что “конфиденциальное облако” — лучший компромисс: оно обеспечивает приватность, близкую к локальной, и решает проблему “постоянной онлайн-работы”.

Также он упомянул, что можно настроить политики, например, при путешествиях за границу автоматически добавлять дополнительные меры безопасности, чтобы предотвратить несанкционированный доступ.

03 Большие амбиции

Бодя — не обычный разработчик с открытым исходным кодом.

В 2017 году он был одним из восьми соавторов статьи “Attention Is All You Need”, которая заложила основу современных больших языковых моделей через архитектуру Transformer.

Хотя в списке авторов он стоит последним, в сноске указано: “Равное участие. Порядок случайный.”

В том же году он ушел из Google и основал NEAR Protocol, чтобы объединить AI и блокчейн.

За IronClaw стоит более масштабная стратегия NEAR — создание AI, принадлежащего пользователю (User-Owned AI).

В рамках этого видения, пользователи полностью контролируют свои данные и активы, а AI-агенты в доверенной среде выполняют задачи за них.

NEAR уже построил инфраструктуру для AI-облачных платформ и децентрализованных GPU-рынков, а IronClaw — это слой выполнения этой системы.

Бодя даже создал рынок для найма агентов друг у друга.

На платформе market.near.ai пользователи могут регистрировать своих специализированных агентов, которые со временем наберут репутацию и получат более ценные задания.

Когда его спросили, как обычным людям адаптироваться к эпохе AI в ближайшие пять лет, Бодя посоветовал как можно скорее перейти на работу с AI-агентами, научиться доверять им автоматизацию полного рабочего процесса.

Это не внезапное решение — еще в 2017 году, при создании NEAR AI, он говорил всем: “В будущем вам нужно только общаться с компьютером, писать код уже не придется.”

Люди считали это бредом.

Прошло девять лет, и это становится реальностью.

“AI-агенты — это конечный интерфейс для взаимодействия человека со всем онлайн-миром,” — пишет Полосухин, — “но сделайте его безопасным.”