English
中文
Deutsch
StartseiteArtikel

Die Autoren der Transformer - Studie haben die Hummer neu gestaltet und mit Rust eine Stahlversion hergestellt, um die Sicherheitslücken von OpenClaw zu beseitigen.

量子位2026-03-06 17:15
Vierstufige Tiefeabwehr trennt Passwörter von Large Language Models.

Wie viele Lobster rennen im Internet nackt herum?

AI-Agenten exponieren Ihre Passwörter und API-Schlüssel für das gesamte Internet.

Der Autor des Transformers, Illia Polosukhin, konnte das nicht mehr ertragen. Er hat von Grund auf eine sichere Version des Lobster, IronClaw, neu entwickelt.

IronClaw ist derzeit auf GitHub als Open-Source-Projekt verfügbar. Es bietet Installationspakete für macOS, Linux und Windows und unterstützt sowohl die lokale Installation als auch die Cloud-Hosting. Das Projekt befindet sich noch in der Phase der schnellen Iteration, und die Binärdateien für die Version v0.15.0 können bereits heruntergeladen werden.

Polosukhin (im Folgenden als "Ananas-Bro" bezeichnet) hat auch einen Beitrag auf dem Reddit-Forum eröffnet, um auf alle Fragen zu antworten, was viel Aufmerksamkeit erregt hat.

OpenClaw ist populär geworden, aber es hat auch "Feuer gefangen"

Ananas-Bro selbst war einer der frühen Benutzer von OpenClaw und hat es als die Technologie bezeichnet, auf die er 20 Jahre gewartet hat.

Es hat die Art und Weise, wie ich mit der Computerkunst interagiere, verändert.

Allerdings ist die Sicherheitslage von OpenClaw eine Katastrophe. Ein-Klick-Remote-Codeausführung, Prompt-Injection-Angriffe und die Entwendung von Passwörtern durch bösartige Skills wurden eines nach dem anderen in der OpenClaw-Ökosystem aufgedeckt.

Über 25.000 öffentliche Instanzen wurden ohne ausreichende Sicherheitskontrollen im Internet exponiert, was von Sicherheitsfachleuten direkt als "Sicherheitsmüllfeuer" bezeichnet wurde.

Die Wurzel des Problems liegt in der Architektur selbst.

Wenn Benutzer ihren E-Mail-Bearer-Token an OpenClaw übergeben, wird er direkt an den Server des LLM-Anbieters gesendet.

Ananas-Bro hat auf Reddit darauf hingewiesen, was das bedeutet:

Alle Ihre Informationen, einschließlich Daten, für die Sie keine explizite Genehmigung erteilt haben, können von jedem Mitarbeiter dieser Firma abgerufen werden. Das gilt auch für die Daten Ihres Arbeitgebers. Es ist nicht so, dass diese Unternehmen böswillig sind, aber die Realität ist, dass die Benutzer keine echte Privatsphäre haben.

Er hat angegeben, dass keine Bequemlichkeit es wert ist, die Sicherheit und Privatsphäre von sich und seiner Familie aufs Spiel zu setzen.

Alles von Grund auf mit Rust neu aufbauen

IronClaw ist eine vollständige Neuschreibung von OpenClaw in der Rust-Sprache.

Die Speichersicherheit von Rust kann traditionelle Sicherheitslücken wie Pufferüberläufe von Grund auf beseitigen, was für Systeme, die mit privaten Schlüsseln und Benutzeranmeldeinformationen umgehen müssen, von entscheidender Bedeutung ist.

Bei der Sicherheitsarchitektur hat IronClaw eine Vier-Ebenen-Tiefenverteidigung aufgebaut.

Die erste Ebene ist die Speichersicherheit, die Rust selbst bietet.

Die zweite Ebene ist die WASM-Sandbox-Isolierung. Alle Drittanbieter-Tools und von der KI generierter Code werden in einem unabhängigen WebAssembly-Container ausgeführt. Selbst wenn ein Tool bösartig ist, ist der Schadensbereich strikt auf die Sandbox beschränkt.

Die dritte Ebene ist der verschlüsselte Anmeldeinformations-Vault. Alle API-Schlüssel und Passwörter werden mit AES-256-GCM verschlüsselt gespeichert. Jede Anmeldeinformation ist an Richtlinienregeln gebunden, die festlegen, dass sie nur für bestimmte Domänen verwendet werden kann.

Die vierte Ebene ist die vertrauenswürdige Ausführungsumgebung (TEE). Sie nutzt die Hardware-Level-Isolierung, um die Daten zu schützen. Selbst der Cloud-Dienstanbieter kann nicht auf die sensiblen Informationen der Benutzer zugreifen.

Der wichtigste Punkt in diesem Design ist: Das große Modell hat niemals Zugang zu den ursprünglichen Anmeldeinformationen.

Die Anmeldeinformationen werden erst an der Netzwerkgrenze injiziert, wenn der Agent mit externen Diensten kommunizieren muss.

Ananas-Bro hat ein Beispiel gegeben. Selbst wenn das große Modell durch einen Prompt-Injection-Angriff manipuliert wird und versucht, den Google-OAuth-Token des Benutzers an einen Angreifer zu senden, wird die Anmeldeinformationsspeicherschicht diese Anfrage direkt ablehnen, ein Protokoll erstellen und den Benutzer alarmieren.

Dennoch ist die Entwickler-Community immer noch besorgt. Nachdem über 2.000 öffentliche Instanzen von OpenClaw angegriffen wurden und es viele bösartige Skills gibt, wird sich IronClaw möglicherweise in die gleiche Falle setzen, wenn es populär wird?

Ananas-Bro hat geantwortet, dass die Architektur von IronClaw die Kernlücken von OpenClaw von Grund auf geschlossen hat. Die Anmeldeinformationen werden immer verschlüsselt gespeichert und haben niemals Kontakt mit dem LLM. Dritte Skills können keine Skripte auf dem Host ausführen, sondern nur innerhalb des Containers.

Selbst wenn man über die CLI zugreift, muss der System-Schlüsselbund des Benutzers verwendet werden, um die Verschlüsselung aufzuheben. Der erhaltene Verschlüsselungsschlüssel ist an sich bedeutungslos.

Er hat auch angegeben, dass das Team plant, sobald die Kernversion stabil ist, Red-Team-Tests und professionelle Sicherheitsüberprüfungen durchzuführen.

Zu dem von der Branche als schwierig geltenden Problem des Prompt-Injections hat Ananas-Bro detailliertere Ideen vorgestellt.

Aktuell verwendet IronClaw heuristische Regeln zur Mustererkennung. Das Ziel für die Zukunft ist die Implementierung eines kontinuierlich aktualisierbaren kleinen Sprachklassifikators, um Einspritz-Muster zu erkennen.

Er hat jedoch auch zugeben müssen, dass Prompt-Injection nicht nur Anmeldeinformationen stehlen kann, sondern auch direkt die Codebasis des Benutzers verändern oder über Kommunikationsmittel bösartige Nachrichten senden kann.

Um diesen Angriffen entgegenzuwirken, wird ein intelligenteres Strategie-System benötigt, das die Absicht des Agents überprüfen kann, ohne den Eingabeinhalt zu betrachten. "Es ist noch mehr Arbeit erforderlich, und die Community wird herzlich eingeladen, beizutragen."

Es wurde gefragt, wie man zwischen lokaler und Cloud-Bereitstellung wählen soll.

Ananas-Bro ist der Meinung, dass reinen lokalen Lösungen deutliche Einschränkungen unterliegen. Wenn das Gerät ausgeschaltet ist, stoppt der Agent seine Arbeit. Die Energieversorgung von Mobilgeräten kann die Last nicht tragen, und komplexe, langwierige Aufgaben können nicht ausgeführt werden.

Er ist der Ansicht, dass die vertrauliche Cloud (confidential cloud) derzeit die beste Kompromisslösung ist. Sie bietet sowohl ein ähnliches Maß an Privatsphäre wie lokale Geräte als auch die Lösung für das Problem des "immer online".

Er hat auch ein Detail erwähnt: Benutzer können Richtlinien festlegen, z. B. automatisch zusätzliche Sicherheitsbarrieren hinzuzufügen, wenn sie im Ausland reisen, um unbefugten Zugriff zu verhindern.

Ein größeres Ziel

Ananas-Bro ist kein gewöhnlicher Open-Source-Entwickler.

Im Jahr 2017 hat er als einer von acht Mitautoren die Studie "Attention Is All You Need" veröffentlicht, in der das Transformer-Architektur vorgestellt wurde, das die Grundlage für alle heutigen großen Sprachmodelle bildet.

Obwohl er in der Autorenliste zuletzt steht, steht in einer Fußnote der Studie: "Equal contribution. Listing order is random." Die Reihenfolge der Autoren ist rein zufällig.

Doch im gleichen Jahr hat er Google verlassen und NEAR Protocol gegründet, um die KI und die Blockchain-Technologie zu integrieren.

Hinter IronClaw steckt ein größeres strategisches Konzept von NEAR Protocol: Benutzer-eigene KI (User-Owned AI).

In dieser Vision haben die Benutzer vollständige Kontrolle über ihre Daten und Vermögenswerte. Die AI-Agenten führen Aufgaben im vertrauenswürdigen Umfeld im Namen der Benutzer aus.

NEAR hat bereits Infrastrukturen wie eine KI-Cloudplattform und einen dezentralisierten GPU-Markt aufgebaut. IronClaw ist die Laufzeit-Schicht dieses Systems.

Ananas-Bro hat sogar einen Markt für die gegenseitige Einstellung von Agenten entwickelt.

Auf market.near.ai können Benutzer ihre spezialisierten Agenten registrieren. Je mehr Reputation der Agent sammelt, desto mehr hochwertige Aufgaben erhält er.

Als gefragt wurde, wie sich normale Menschen in den nächsten fünf Jahren an die KI-Zeit anpassen können, hat Ananas-Bro empfohlen, so bald wie möglich die Arbeitsweise von AI-Agenten zu adoptieren und zu lernen, vollständige Arbeitsabläufe an sie zu übergeben, um sie zu automatisieren.

Seine Einschätzung ist nicht plötzlich in letzter Zeit entstanden.

Bereits 2017, als er NEAR AI gründete, hat Ananas-Bro allen gesagt: "In Zukunft müssen Sie nur noch mit dem Computer sprechen, anstatt Code zu schreiben."

Damals haben die Leute gedacht, dass sie verrückt seien und Unsinn erzählten.

Nun, neun Jahre später, wird dies zur Realität.

"AI-Agenten sind die ultimative Schnittstelle für die Interaktion zwischen Menschen und allem Online", schrieb Polosukhin. "Lassen Sie uns sie aber sicher machen."

GitHub-Adresse: https://github.com/nearai/ironclaw

该文观点仅代表作者本人,36氪平台仅提供信息存储空间服务。

Für Presseanfragen, Content-Kooperationen, Geschäftliche Zusammenarbeit oder zur Gewinnung globaler Partner im Ökosystem, können Sie uns über folgenden Kontakte erreichen: E-Mail an mohaiying@36kr.com.
Partner:startuprad.io

(eu.36kr.com) ist ein branchenspezifisches Medium, das sich auf internationale Märkte konzentriert und Unternehmen bei ihren grenzüberschreitenden Aktivitäten mit umfassender Beratung und professionellen Dienstleistungen unterstützt.

© 2024 36kr.com. All rights reserved.