Odaily Planet Daily News: 31 марта Web3-безопасностная компания CertiK выпустила «Безопасностный отчет OpenClaw», в котором провела систематический обзор и анализ безопасностных границ и моделей рисков, возникших в процессе развития OpenClaw, а также предложила рекомендации по защите для разработчиков и пользователей.
Отчет указывает, что архитектура OpenClaw связывает внешние входные данные с локальной средой выполнения с повышенными привилегиями; такая модель «высокая способность + повышенные привилегии» повышает уровень автоматизации, но одновременно предъявляет более высокие требования к безопасности: ранняя модель безопасности, основанная на «локальной доверенной среде», постепенно демонстрирует ограничения в сложных сценариях развертывания. Данные показывают, что в период с ноября 2025 года по март 2026 года OpenClaw сгенерировал более 280 уведомлений о безопасности на GitHub и более 100 уязвимостей CVE. Исследование суммировало типичные типы рисков и их причины на нескольких уровнях: управление шлюзом, привязка идентичности, механизм выполнения и экосистема плагинов.
На этой основе отчет предлагает следующие рекомендации разработчикам и пользователям: разработчикам необходимо на ранних этапах создавать модель угроз, включая контроль доступа, изоляцию в песочнице и механизмы наследования прав в основную архитектуру; одновременно усиливать проверку и ограничения для плагинов и внешних входных данных. Пользователям следует избегать экспонирования системы в публичной сети, применять принцип минимальных прав, регулярно проводить аудит конфигураций и управлять изоляцией среды, чтобы снизить риск злоупотребления или неправильного использования системы.