Автори статті Transformer переосмислюють омара, прощаючись з вразливістю OpenClaw

Звідси | Квантовий біт

Скільки омарів у мережі бігає голяка?

Інтелектуальні системи AI з вашими паролями та API-ключами відкрито доступні всій мережі.

Автор Transformer Ілля Полосухін не міг це терпіти. Він почав з нуля реконструював безпечну версію омара: IronClaw.

IronClaw наразі відкритий на GitHub, доступні інсталяційні пакети для macOS, Linux та Windows, підтримується локальне розгортання та хмарне хостингування. Проєкт швидко розвивається, вже доступна версія v0.15.0.

Полосухін (далі — Буряковий брат) також відкрив тему на Reddit, відповідаючи на всі питання, увага до нього висока.

01 OpenClaw став популярним, але й “загорівся”

Сам Полосухін був одним із ранніх користувачів OpenClaw і називає це технологією, яку він чекав 20 років.

Вона вже змінила спосіб моєї взаємодії з обчисленнями.

Але безпека OpenClaw — справжня катастрофа: можливість віддаленого виконання коду одним натисканням, інжекція підказок, крадіжка паролів зловмисними навичками — ці вразливості були викриті в екосистемі OpenClaw.

Більше 25 000 публічних інстанцій без належного контролю безпеки відкриті в інтернеті, їх називають “сміттєвий вогонь безпеки” (security dumpster fire).

Корінь проблеми — у самій архітектурі.

Коли користувач передає OpenClaw свій Bearer Token, він потрапляє безпосередньо на сервер постачальника LLM.

Буряковий брат на Reddit зазначив, що це означає:

Вся ваша інформація, навіть ті дані, на які ви не давали явної згоди, можуть бути доступні будь-якому співробітнику компанії. Це стосується й даних вашого роботодавця. Не кажу, що компанії мають злі наміри, але реальність така: користувачі позбавлені справжньої приватності.

Він каже, що жодна зручність не варта ризику для безпеки та приватності себе та своїх близьких.

02 З нуля на Rust відновлюємо все

IronClaw — це повна переписана на Rust версія OpenClaw.

Мовні особливості Rust з безпекою пам’яті дозволяють усунути традиційні вразливості, такі як буферні переповнення, що особливо важливо для систем з обробкою приватних ключів та облікових даних користувачів.

У безпечній архітектурі IronClaw побудовано чотири рівні захисту.

Перший — гарантії безпеки пам’яті від Rust.

Другий — ізоляція у WebAssembly (WASM) у пісочниці, всі сторонні інструменти та AI-генерований код працюють у окремих контейнерах, навіть якщо якийсь інструмент зловмисний, його шкода обмежена межами пісочниці.

Третій — зашифрований сейф для облікових даних, всі API-ключі та паролі зберігаються за допомогою AES-256-GCM, кожен обліковий запис має політику, що обмежує його використання лише для певних доменів.

Четвертий — довірене виконавче середовище (TEE), яке використовує апаратне ізоляційне захисту даних, навіть постачальники хмарних послуг не мають доступу до чутливих даних користувачів.

Найважливіше у цій системі — модель сама ніколи не контактує з оригінальними обліковими даними.

Облікові дані передаються лише коли агент потрібно зв’язатися з зовнішніми сервісами, і вони вводяться на межі мережі.

Буряковий брат навів приклад: навіть якщо модель піддається інжекції підказок і намагається передати OAuth-токен користувача зловмиснику, рівень збереження облікових даних відхилить запит, зафіксує лог і сповістить користувача.

Проте спільнота розробників все ще сумнівається: адже понад 2000 публічних інстанцій OpenClaw були атаковані, і багато зловмисних навичок існує. Чи не повториться історія з IronClaw?

Буряковий брат відповідає, що архітектура IronClaw вже з кореня закрила основні вразливості OpenClaw. Облікові дані завжди зберігаються зашифрованими і ніколи не контактують з LLM, сторонні навички не можуть виконувати скрипти на хості, лише у контейнерах.

Навіть при доступі через CLI, для розшифрування потрібен системний ключ користувача, і сам зашифрований ключ без сенсу.

Він також додав, що з наближенням стабільної версії команда планує провести тестування червоної команди та професійний аудит безпеки.

Щодо поширеної проблеми інжекції підказок, Буряковий брат запропонував більш детальний підхід.

Зараз IronClaw використовує евристичні правила для виявлення шаблонів, у майбутньому планується розгортання невеликого класифікатора мов, що зможе автоматично ідентифікувати інжекційні шаблони.

Водночас він визнає, що інжекція підказок може не лише красти облікові дані, а й безпосередньо змінювати код користувача або надсилати зловмисні повідомлення через комунікаційні засоби.

Для протидії цим атакам потрібна більш розумна стратегія, здатна аналізувати наміри агентів без перегляду вхідних даних — “потрібно більше роботи, запрошуємо спільноту долучатися”.

Щодо вибору між локальним та хмарним розгортанням, Буряковий брат вважає, що чисто локальне рішення має очевидні обмеження: при вимкненні пристрою агент припиняє роботу, мобільні пристрої мають високий енергоспоживання, важко виконувати довготривалі задачі.

Він вважає, що “конфіденційне хмарне рішення” — найкращий компроміс, що забезпечує приватність, близьку до локальної, і водночас вирішує проблему “постійної онлайн-активності”.

Він також згадав, що користувачі можуть налаштовувати політики, наприклад, автоматично додавати додаткові заходи безпеки під час закордонних поїздок, щоб запобігти несанкціонованому доступу.

03 Більше амбіцій

Буряковий брат — не просто розробник з відкритим кодом.

У 2017 році він був одним із восьми співавторів статті “Attention Is All You Need”, яка заклала основу сучасних великих мовних моделей через архітектуру Transformer.

Хоча у списку авторів він був останнім, у примітці зазначено: “Рівний внесок. Порядок у списку випадковий.”

У тому ж році він покинув Google і заснував NEAR Protocol, прагнучи об’єднати AI та блокчейн.

За цим стоїть стратегічне бачення NEAR — користувачі мають власний AI (User-Owned AI).

У цьому баченні користувачі повністю контролюють свої дані та активи, а агент у довіреному середовищі виконує завдання за їхнім замовленням.

NEAR вже створив хмарну платформу для AI та децентралізований ринок GPU, а IronClaw — це часова частина цієї системи.

Буряковий брат навіть створив ринок для найму агентів один для одного.

На платформі market.near.ai користувачі можуть реєструвати свої спеціалізовані агенти, і з накопиченням репутації вони отримують більше високовартісних завдань.

Коли його запитали, як звичайна людина має адаптуватися до епохи AI за п’ять років, він порадив швидше перейти на роботу з агентами AI, довіряючи їм автоматизацію всього робочого процесу.

Ця ідея не з’явилася раптово. Ще у 2017 році, засновуючи NEAR AI, він говорив всім: “Майбутнє — це спілкування з комп’ютером, без написання коду.”

Тоді це здавалося божевіллям, нісенітницею.

Минуло дев’ять років, і це стає реальністю.

“AI-агенти — це кінцевий інтерфейс людського спілкування з усім онлайн,” — писав Полосухін, — “але зробімо його безпечним.”