I tuoi sviluppatori stanno già lavorando Artiglio aperto a casa. Censys lo seguì Il numero di agenti IA open source è cresciuto da circa 1.000 a oltre 21.000 disponibili pubblicamente distribuzioni esposte in meno di una settimana. La telemetria GravityZone di Bitdefender, prelevata specificamente da ambienti aziendali, ha confermato il modello temuto dai leader della sicurezza: Dipendenti che implementano OpenClaw sui computer aziendali Con comandi di configurazione a riga singola, garantisce agli agenti autonomi l’accesso alla shell, i privilegi del file system e i token OAuth a Slack, Gmail e SharePoint.
CVE-2026-25253Ha una valutazione dei difetti CVSS 8.8 e l’esecuzione del codice remoto con un clic. Una vulnerabilità di command injection separata CVE-2026-25157macOS consentiva l’esecuzione arbitraria di comandi tramite il gestore SSH. Un’analisi di sicurezza di 3.984 competenze nel mercato ClawHub ha rilevato che 283 competenze, circa il 7,1% dell’intero registro, contenevano difetti di sicurezza critici che esponevano credenziali sensibili in testo non crittografato. E uno controllo separato di Bitdefender Ha scoperto che circa il 17% delle competenze analizzate mostravano comportamenti dannosi diretti.
La divulgazione delle credenziali si estende oltre OpenClaw. I ricercatori di Wiz hanno scoperto che Moltbook, un social network di agenti di intelligenza artificiale costruito sull’infrastruttura OpenClaw, Supabase ha lasciato il suo intero database accessibile al pubblico Quando la sicurezza a livello di riga non è abilitata. La violazione ha esposto 1,5 milioni di token di autenticazione API, 35.000 indirizzi e-mail e messaggi privati tra broker contenenti chiavi API OpenAI in testo semplice. Un singolo errore di configurazione ha fornito a chiunque disponesse di un browser l’accesso completo in lettura e scrittura alle credenziali di ogni agente sulla piattaforma.
Le guide all’installazione dicono di acquistare un Mac Mini. La copertura di sicurezza dice di non toccarlo. Nessuno dei due offre al leader della sicurezza un percorso di valutazione controllato.
E stanno arrivando velocemente. L’app Codex di OpenAI ha raggiunto 1 milione di download nella prima settimana. È diventato una merce Ho visto testare l’integrazione di OpenClaw Nella base di codice della piattaforma AI. La startup chiamata ai.com è stata spesa 8 milioni di dollari per la pubblicità del Super Bowl per promuovere quella che si rivelò essere la confezione di OpenClaw settimane dopo che il progetto era diventato virale.
I leader della sicurezza hanno bisogno di una via di mezzo tra ignorare OpenClaw e implementarlo su hardware di produzione. Il framework Moltworker di Cloudflare Fornisce: contenitori temporanei che isolano l’agente, archiviazione R2 crittografata per uno stato persistente e autenticazione Zero Trust nell’interfaccia di amministrazione.
Perché i test a livello locale creano il rischio che deve essere valutato?
OpenClaw funziona con tutti i privilegi dell’utente host. Accesso alla shell. Lettura/scrittura del file system. Credenziali OAuth per ogni servizio connesso. Un agente compromesso prende immediatamente il controllo di tutto questo.
Il ricercatore di sicurezza Simon Willison, che ha coniato il termine "iniezione rapida," quello che ha detto è spiegato “trio mortale” Per gli agenti AI: combinazione di accesso ai dati privati, esposizione di contenuti non attendibili e capacità di comunicazione esterna in un unico processo. OpenClaw li ha tutti e tre e in base alla progettazione. Vedere Firewall aziendali HTTP 200. I sistemi EDR tengono traccia del comportamento del processo, non del contenuto semantico.
Un prompt injection incorporato in una pagina Web digerita o in un’e-mail inoltrata può innescare una perdita di dati che appare simile alla normale attività dell’utente. I ricercatori di Giskard lo hanno dimostrato A gennaio, ha utilizzato esattamente questo percorso di attacco, sfruttando il contesto della sessione condivisa attraverso i canali di messaggistica per raccogliere chiavi API, variabili di ambiente e credenziali.
Gateway OpenClaw ancora peggiore per impostazione predefinita si lega a 0.0.0.0:18789espone la sua API completa a qualsiasi interfaccia di rete. Le connessioni localhost si autenticano automaticamente senza credenziali. Quando distribuito dietro un proxy inverso sullo stesso server, il proxy restringe completamente il limite di autenticazione e inoltra il traffico esterno come se provenisse da locale.
I contenitori temporanei stanno cambiando la matematica
Cloudflare lancia Moltworker Come implementazione di riferimento open source che separa il cervello dell’agente dall’ambiente di esecuzione. Invece di essere eseguito su una macchina di cui sei responsabile, la logica di OpenClaw viene eseguita nella Cloudflare Sandbox, una macchina microvirtuale isolata e temporanea che muore al termine dell’attività.
Quattro strati formano l’architettura. Un lavoratore Cloudflare all’edge gestisce il routing e il proxy. Il runtime OpenClaw viene eseguito all’interno di un contenitore sandbox che esegue Ubuntu 24.04 con Node.js. Lo storage di oggetti R2 gestisce la persistenza crittografata durante il riavvio del contenitore. Cloudflare Access applica l’autenticazione Zero Trust su ogni percorso verso l’interfaccia di amministrazione.
La custodia è la caratteristica di sicurezza più importante. Un agente compromesso tramite flash injection viene intrappolato in un contenitore temporaneo senza accesso alla rete locale o ai file. Il contenitore muore e con esso muore la superficie di attacco. Non c’è nulla di permanente a cui tornare. Non sono presenti credenziali nella directory ~/.openclaw/ sul tuo laptop aziendale.
Quattro passaggi per una sandbox funzionante
Un campione di valutazione sicuro richiede un pomeriggio per essere eseguito. Non è richiesta una precedente esperienza con Cloudflare.
Passaggio 1: configura spazio di archiviazione e fatturazione.
Un account Cloudflare con un piano Worker Paid ($ 5 al mese) e un abbonamento R2 (livello gratuito) copre tutto questo. Il piano Worker include l’accesso ai contenitori Sandbox. R2 fornisce persistenza crittografata in modo che la cronologia delle conversazioni e le mappature dei dispositivi sopravvivano quando il contenitore viene riavviato. Per una pura valutazione della sicurezza, puoi saltare R2 ed eseguirlo interamente ad hoc. I dati vengono persi ad ogni riavvio; Questo potrebbe essere esattamente quello che vuoi.
Passaggio 2: crea e distribuisci i token.
clone Magazzino di Moltworkerinstalla le dipendenze e imposta tre segreti: la tua chiave API Anthropic, un token gateway generato casualmente (openssl rand -hex 32) e facoltativamente una configurazione Cloudflare AI Gateway per il routing del modello indipendente dal provider. Esegui la distribuzione npm run. La prima richiesta attiva l’avvio del contenitore con un avvio a freddo di uno o due minuti.
Passaggio 3: attiva l’autenticazione Zero Trust.
È qui che il sandbox differisce da tutte le altre guide alla distribuzione di OpenClaw. Configura Cloudflare Access per proteggere l’interfaccia utente di amministrazione e tutti i percorsi interni. Imposta il campo del team di accesso e il tag del pubblico dell’app come segreti di Wrangler. Ridistribuire. L’accesso all’interfaccia di controllo del broker ora richiede l’autenticazione tramite il tuo provider di identità. Questo singolo passaggio elimina i pannelli di amministrazione e la perdita di token URL esposti nelle scansioni che Censys e Shodan continuano a trovare su Internet.
Passaggio 4: collega un canale di messaggistica di prova.
Inizia con un account Telegram disponibile. Imposta il token del bot sul segreto di Wrangler e ridistribuiscilo. È possibile accedere all’agente tramite un canale di messaggistica controllato dall’utente, in esecuzione in un contenitore isolato, con persistenza crittografata e accesso amministrativo autenticato.
Il costo totale per un campione di valutazione 24 ore su 24, 7 giorni su 7 è compreso tra circa $ 7 e $ 10 al mese. Confrontalo con un Mac Mini da $ 599 seduto sulla tua scrivania con accesso completo alla rete e credenziali in chiaro nella sua directory home.
Uno stress test di 30 giorni prima di espandere l’accesso
Resisti alla tentazione di connetterti con qualcosa di reale. I primi 30 giorni devono essere condotti esclusivamente con documenti di identità usa e getta.
Crea un bot Telegram personalizzato e crea un calendario di prova con dati sintetici. Se per te è importante l’integrazione della posta elettronica, apri un nuovo account senza inoltrare regole, contatti e legami all’infrastruttura aziendale. L’importante è monitorare il modo in cui l’agente gestisce la pianificazione, il riepilogo e il web mining senza rivelare dati che potrebbero essere importanti per la violazione.
Prestare molta attenzione alla gestione delle credenziali. OpenClaw memorizza le configurazioni in file Markdown e JSON in testo normale per impostazione predefinita; Gli stessi formati sono stati utilizzati da hacker di materie prime come RedLine, Lumma e Vidar. prendendo di mira attivamente Nelle installazioni OpenClaw. Nell’area protetta questo rischio rimane sotto controllo. Su un laptop aziendale, questi file di testo semplice fungono da protezione contro qualsiasi malware già presente sull’endpoint.
Il sandboxing ti offre un ambiente sicuro per eseguire test contraddittori poco attenti e rischiosi sull’hardware di produzione, ma ci sono esercizi che puoi provare:
Pubblica i collegamenti dell’agente alle pagine con istruzioni integrate per l’aggiunta di istruzioni e verifica se le seguono. La ricerca di Giskard ha dimostrato che gli agenti aggiungevano silenziosamente istruzioni controllate dall’aggressore al file HEARTBEAT.md del loro spazio di lavoro e aspettavano comandi da un server esterno. Questo comportamento dovrebbe essere ripetibile in una sandbox in cui le conseguenze sono pari a zero.
Concedi un accesso limitato allo strumento e controlla se l’agente tenta o richiede autorizzazioni più ampie. Monitora le connessioni in uscita del contenitore per il traffico verso gli endpoint che non hai autorizzato.
Metti alla prova le competenze di ClawHub prima e dopo l’installazione. OpenClaw ha recentemente integrato la scansione VirusTotal nel mercato e ogni abilità pubblicata viene ora scansionata automaticamente. Separatamente, Prompt Security Suite open source ClawSec Fornisce un secondo livello di verifica aggiungendo il rilevamento della deriva per i file dell’agente critici come SOUL.md e la verifica del checksum per le build delle competenze.
Fornire all’agente istruzioni contrastanti attraverso diversi canali. Prova un invito del calendario con istruzioni nascoste. Invia un messaggio Telegram tentando di ignorare il prompt del sistema. Documenta tutto. Poiché l’area protetta è disponibile, questi esperimenti non rappresentano un rischio produttivo.
Infine, conferma le protezioni dei confini della sandbox. Prova ad accedere alle risorse all’esterno del contenitore. Verificare che il processo di terminazione del contenitore termini tutte le connessioni attive. Controlla se la persistenza R2 produce ciò che dovrebbe essere transitorio.
Playbook che sopravvive a OpenClaw
Questo esercizio produce qualcosa di più permanente di un’idea su un singolo strumento. L’esecuzione isolata, le integrazioni a più livelli e un modello di convalida strutturato prima di estendere la fiducia diventano il tuo quadro di valutazione per ogni successiva implementazione dell’intelligenza artificiale dell’agenzia.
Costruire un’infrastruttura di valutazione ora, prima che venga rilasciato il prossimo agente virale, significa anticipare la curva dell’intelligenza artificiale ombra anziché documentare la violazione che provoca. Il modello di sicurezza AI dell’agenzia che implementerai nei prossimi 30 giorni determinerà se la tua organizzazione potrà ottenere guadagni di produttività o diventare la prossima esposta.
