OpenClaw सपने जैसा दिखता है, लेकिन सुरक्षा के लिहाज़ से किसी दुःस्वप्न के अधिक करीब है

 (composio.dev)
3 पॉइंट द्वारा GN⁺ 2026-03-23 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Opus-आधारित अगली पीढ़ी का autonomous agent OpenClaw ईमेल, कैलेंडर, होम automation आदि कई ऐप्स को एकीकृत करके निजी सहायक की तरह काम करता है
  • लेकिन SkillHub skill verification की कमी, token exposure, memory poisoning जैसी कई कमजोरियाँ मिली हैं, जो गंभीर सुरक्षा जोखिम पैदा करती हैं
  • 30,000 से अधिक instances बिना authentication के exposed पाए गए, और prompt injection तथा supply chain attack की संभावना भी पुष्टि हुई
  • Palo Alto Networks ने OpenClaw की संरचनात्मक समस्याओं को OWASP agent risks Top 10 में शामिल किया है
  • इसके जवाब में TrustClaw को managed OAuth, remote sandbox, और least-privilege control से लैस security-first alternative के रूप में पेश किया गया है

OpenClaw: आदर्श और दुःस्वप्न, दोनों चेहरों वाला

  • 2023 में AutoGPT और BabyAGI के बाद, OpenClaw ने Opus-आधारित अगली पीढ़ी के autonomous agent के रूप में ध्यान खींचा
    • यह local files, terminal, browser, Gmail, Slack, और home automation systems तक को नियंत्रित कर सकता है
    • OpenAI द्वारा संस्थापक Peter Steinberger का अधिग्रहण किए जाने के बाद यह और चर्चा में आया
  • शानदार क्षमताओं के पीछे गंभीर security vulnerabilities मौजूद हैं
    • उच्च प्रदर्शन के बावजूद इसकी security architecture को अस्थिर माना गया है

OpenClaw: सपनों जैसी automation का वादा

  • OpenClaw एक personal-assistant प्रकार का agent है, जो ईमेल व्यवस्थित करना, मीटिंग शेड्यूल करना, संगीत चलाना जैसे रोज़मर्रा के काम अपने-आप संभालता है
    • यह Anthropic के Claude Opus 4.5 model पर आधारित है और Telegram के ज़रिए काम करता है
    • Notion, Todoist, Spotify, Sonos, Gmail जैसे कई ऐप्स को एकीकृत कर सकता है
  • उपयोग बढ़ने के साथ pattern learning और workflow automation मजबूत होते जाते हैं, जिससे इसका व्यवहार और अधिक personalized हो जाता है
    • उदाहरण: रेस्तरां booking के समय cancellation fee पहचानकर उसे कैलेंडर में शामिल करना
  • लेकिन वास्तविक उपयोग के दौरान अनपेक्षित व्यवहार के मामले भी सामने आए हैं
    • जैसे Slack बातचीत को गलत समझकर अपने-आप vacation status सेट कर देना

  • सुरक्षा और privacy का Faustian सौदा

    • OpenClaw को messages, 2FA codes, bank accounts, calendars, contacts जैसी संवेदनशील जानकारी तक पहुँच मिलती है
    • उपयोगकर्ता मानव सहायक की जगह prompt injection, model hallucination, configuration errors जैसे नए जोखिम स्वीकार करते हैं
    • इंसान कानूनी ज़िम्मेदारी ले सकता है, लेकिन agent नहीं

  • उपयोग करना चाहिए या नहीं

    • OpenClaw की प्रवृत्ति मौजूदा safety guardrails को नज़रअंदाज़ करके तेज़ी से execute करने की है
    • WhatsApp, Telegram जैसे बाहरी ऐप्स की access permissions की ज़रूरत होने से इसका attack vector के रूप में दुरुपयोग हो सकता है
    • क्योंकि तकनीकी ecosystem अभी परिपक्व नहीं है, आम उपयोगकर्ताओं को इससे दूर रहने की सलाह दी जाती है

OpenClaw: सुरक्षा दुःस्वप्न की असली तस्वीर

  • ClawdHub skill vulnerabilities

    • OpenClaw SkillHub से user-created skills डाउनलोड करके इस्तेमाल करता है
    • security verification process न होने से malicious skills फैल गए
    • 1Password के Jason Melier ने पाया कि “Twitter” skill information-stealing malware इंस्टॉल करती है
    • यह skill एक लिंक के ज़रिए second-stage payload चलाती थी और macOS security checks को bypass करती थी
    • VirusTotal analysis में cookies, SSH keys जैसी संवेदनशील जानकारी चोरी होने की संभावना की पुष्टि हुई

  • supply chain attack simulation

    • Jamieson O’Reilly ने “What would Elon Do” नाम की fake skill बनाकर download counts में हेरफेर किया
    • 7 देशों के developers ने इसे चलाया और पुष्टि की कि remote commands execute हुए
    • वास्तविक डेटा इकट्ठा नहीं किया गया, लेकिन इसी तरीके से हमला संभव है
    • Snyk analysis के मुताबिक 3,984 skills में से 283 (7.1%) में plaintext credential exposure vulnerability थी
    • बाद में VirusTotal के साथ मिलकर skill scanning शुरू की गई

  • persistent prompt injection का खतरा

    • OpenClaw Simon Willison के ‘lethal trifecta’ की सभी शर्तें पूरी करता है
      • निजी डेटा तक पहुँच
      • अविश्वसनीय content के संपर्क में आना
      • बाहरी संचार की क्षमता
    • केवल message, email, या website के text से भी attacker agent को manipulate कर सकता है
    • Gary Marcus ने इसे “operating system protections को bypass करने वाली संरचना” बताया और कहा कि application isolation policies लागू नहीं होतीं
    • Reddit-जैसे platform Moltbook पर agents के बीच cryptocurrency pump-and-dump activity देखी गई

  • integrated services का जोखिम

    • OpenClaw Slack, Gmail, Teams, Trello सहित 50 से अधिक integrations देता है
    • जितनी integrations बढ़ती हैं, attack surface उतना फैलता है, और breach होने पर सभी connected services जोखिम में आ जाती हैं

  • authentication misuse और अत्यधिक token permissions

    • OAuth tokens और API keys local file (auth-profiles.json) में संग्रहीत किए जाते हैं
    • कमजोर authentication या exposed gateway की वजह से token theft का जोखिम रहता है
    • चुराए गए tokens से attacker Slack, Gmail आदि में उपयोगकर्ता की पूरी तरह impersonation कर सकता है

  • memory architecture की समस्या

    • OpenClaw की memory बस Markdown files का एक साधारण collection है
    • संक्रमित agent memory में छेड़छाड़ करे तो भी उसका पता नहीं चलता
    • memory poisoning पूरी instance को लंबे समय तक संक्रमित कर सकती है

  • 30,000 से अधिक exposed instances

    • deployment के शुरुआती चरण में, सुरक्षा पर ध्यान दिए बिना लगाए गए instances बड़ी संख्या में exposed हो गए
    • localhost traffic को अपने-आप approve करने वाली कमजोरी के कारण बिना authentication के access संभव था
    • Censys ने 21,000 और BitSight ने 30,000 से अधिक publicly exposed instances का पता लगाया
    • बाद में patch जारी किए गए, लेकिन नुकसान का पैमाना तब तक काफी बड़ा हो चुका था

  • OWASP Top 10 के संदर्भ में विश्लेषण

    • Palo Alto Networks ने OpenClaw की कमजोरियों को OWASP agent risks Top 10 से map किया
    • मुख्य बिंदु: prompt injection, excessive autonomy, memory poisoning, integration security की कमी, privilege separation की विफलता, runtime monitoring की अनुपस्थिति आदि

OpenClaw सुरक्षा सुदृढ़ीकरण और विकल्प

  • अलग container environment

    • main computer के बजाय अलग मशीन (Docker container) में चलाने की सिफारिश की जाती है
    • पूरे home directory को mount न करें, और non-admin user के रूप में चलाएँ
    • Docker socket को mount न करें, और seccomp profile सक्रिय करके system calls सीमित करें

  • cloud VPS deployment के समय

    • gateway को 127.0.0.1 पर bind करें, और केवल VPN या private tunnel से access दें
    • firewall से SSH access सीमित करें, और rootless Docker इस्तेमाल करें
    • token rotation plan बनाएँ और trusted-proxy settings को न्यूनतम रखें

  • अलग accounts का उपयोग

    • OpenClaw के लिए अलग Gmail, calendar, और 1Password accounts बनाएँ
    • agent को एक स्वतंत्र digital identity की तरह मानें और data separation बनाए रखें

  • सुरक्षित integration management

    • Composio के ज़रिए OAuth tokens को सीधे store किए बिना managed authentication layer का उपयोग करें
    • app-स्तर पर permission scopes को centrally control किया जा सकता है, और granular access scopes सेट किए जा सकते हैं
    • credential lifecycle (connection, renewal, rotation) का automatic management संभव है

  • least privilege सिद्धांत

    • read-only और write permissions को अलग करने वाली multi-agent architecture की सिफारिश की जाती है
    • write permissions समय-सीमित हों, और resource स्तर पर उनका दायरा छोटा रखा जाए
    • delete, share, send जैसे destructive actions के लिए human approval process अनिवार्य होना चाहिए
    • Composio dashboard में नियमित रूप से permission audit करें

  • tool execution visibility

    • Composio agent के सभी app integration execution logs को track करता है
    • इससे समस्या होने पर कारण ढूँढना और recovery करना आसान हो जाता है

TrustClaw: security-first alternative

  • OpenClaw की security समस्याओं को हल करने के लिए TrustClaw विकसित किया गया
    • managed OAuth के कारण tokens disk पर store नहीं किए जाते
    • scope-based access control से केवल न्यूनतम ज़रूरी permissions दी जाती हैं
    • remote sandbox code execution से local system को नुकसान से बचाया जाता है
    • one-click setup, 24/7 agent operations, और complete execution visibility उपलब्ध कराई जाती है

निष्कर्ष

  • TrustClaw ईमेल, कैलेंडर, और credential vault को सुरक्षित रूप से एकीकृत करने वाला fully isolated AI assistant प्रदान करता है
  • यह केवल shared documents या folders तक पहुँच सकता है, बाकी डेटा अवरुद्ध रहता है
  • AI अभी भी अपरिपक्व चरण में है, इसलिए इसका उपयोग safeguards और recovery-by-design को आधार बनाकर ही करना चाहिए
  • automation की सुविधा के पीछे हमेशा security और trust के संतुलन की ज़रूरत होती है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2026-03-23
Hacker News की राय

  • लेख में उद्धृत ट्वीट का जवाब दूँ तो, यह सवाल उठता है कि भविष्य की तकनीक के उदाहरण हमेशा बिना विज़न वाली शेड्यूल बुकिंग या फ्लाइट टिकट बुकिंग जैसे ही क्यों होते हैं
    ये काम तो पहले से ही मैन्युअली आसान हैं, इसलिए यह असली इनोवेशन से ज़्यादा productivity शो जैसा लगता है
    एजेंट फ्लो के सच में प्रभावशाली उदाहरण मौजूद हैं, इसलिए उदाहरणों का स्तर थोड़ा ऊँचा होना चाहिए

    • इस AI boom में “idea-men” बहुत हैं। उन्हें अपने आइडिया बहुत महान लगते हैं, लेकिन जब वे वास्तव में बनते हैं तो उतने दिलचस्प नहीं निकलते
      फिर भी वे “मेरी Claw सेटिंग LinkedIn कमेंट नोटिफिकेशन अपने-आप भेजती है” जैसी पोस्ट ब्लॉग पर डालकर खुश रहते हैं
    • मेरे लिए फ्लाइट बुकिंग जैसी चीज़ें उल्टा ऐसे काम हैं जिन्हें मैं खुद ध्यान लगाकर करना चाहता हूँ। इसमें खर्च बड़ा होता है और details महत्वपूर्ण होती हैं
      लेकिन voice assistant अगर grocery list में चीज़ें जोड़ दे, तो वह ठीक है। गलती हो भी जाए तो बड़ी बात नहीं
    • मैं OpenClaw इस्तेमाल नहीं करता, लेकिन मैंने अपना एक छोटा एजेंट बनाया है जो मुझे हर सुबह morning briefing देता है
      वह email, calendar, Slack, weather, to-do list, journal वगैरह पढ़कर उनका सार देता है
      इससे मैं दिन की योजना जल्दी समझ पाता हूँ और महत्वपूर्ण कामों पर फोकस कर सकता हूँ।
      और अगर मैं चैट में research के लिए कहूँ, तो वह नतीजों को file में व्यवस्थित कर देता है ताकि मैं उन्हें किसी भी device पर तुरंत देख सकूँ
      यह सिर्फ एक hobby project है, लेकिन ऐसा लगता है कि इससे रोज़ एक घंटा बच जाता है
    • कुछ लोग CEO या अमीर लोगों के personal assistant जैसा AI चाहते हैं। मुझे लगता है कि यह अच्छा लक्ष्य है
      smartphone या PDA वह भूमिका पूरी तरह नहीं निभा पाए, इसलिए अब उनकी सीमाएँ पार करनी होंगी
    • कल्पनाशक्ति की कमी भी है, लेकिन सच में क्रांतिकारी उदाहरण इस समय बिल्कुल बेतुके लग सकते हैं
      जैसे 2007 में अगर कोई कहता कि “smartphone दुनिया बदल देगा”
      उदाहरण के लिए, अगर तब कहा जाता कि photo sharing app travel industry बदल देगी, और short video app TV की जगह ले लेगी, तो लोग हँसते

  • OpenClaw इस्तेमाल करते समय अलग अकाउंट बनाना चाहिए। Gmail, Calendar, यहाँ तक कि 1Password भी अलग रखना चाहिए और उसे एक स्वतंत्र इकाई की तरह संभालना चाहिए
    लेकिन Simon Willison की पोस्ट के मुताबिक, इस तरह की संरचना में मूल रूप से ऐसी समस्या है जिसे सुरक्षित बनाना असंभव है

    • मैं इस राय से असहमत हूँ। मेरा OpenClaw Ubuntu VM में अलग Gmail और WhatsApp अकाउंट के साथ चलता है
      मैंने उसे दोस्तों की group trip का शेड्यूल coordinate करने का काम दिया था; वह हर दिन itinerary WhatsApp पर डालता था और छोटे-मोटे सवालों के जवाब भी दे देता था
      इसकी वजह से मैं दोस्तों के साथ समय बिताने पर ध्यान दे सका। यह महीने के $15 SIM cost से ज़्यादा मूल्यवान था
    • “उसे सब कुछ access देना ही होगा” यह गलत मॉडल है
      मैं अपने बनाए AI एजेंट का इस्तेमाल करता हूँ, और उसे सिर्फ खास WhatsApp conversations तक पहुँच है; वह दूसरे नंबर पढ़ भी नहीं सकता
      Calendar में सिर्फ read-only access है, और GitHub में सिर्फ issues तक पहुँच है। granular permission control ही असली कुंजी है
    • HN पर अक्सर “डेटा न दो तो बेकार है, दो तो खतरनाक है” जैसी टिप्पणियाँ दिखती हैं
      लेकिन जिन्होंने इसे सच में इस्तेमाल किया है, वे इतना सीधा निष्कर्ष नहीं निकालते। मैंने भी OpenClaw इस्तेमाल किया, फिर bug की वजह से थोड़ी देर के लिए रोका, लेकिन कोई withdrawal जैसा महसूस नहीं हुआ
      ज़रूरी नहीं कि आप उसे अपना सारा डेटा दें
    • OpenClaw बिना personal data के भी पर्याप्त उपयोगी हो सकता है। public data या external sources के साथ भी इसे चलाया जा सकता है

  • चाहे जितनी कोशिश कर लें, OpenClaw को पूरी तरह सुरक्षित बनाना असंभव है, ऐसा मुझे लगता है
    इसका अर्थ सिर्फ B2B environment या trusted systems के बीच automation जैसे नियंत्रित क्षेत्रों में है
    इसके बाहर जाते ही अप्रत्याशित स्थितियाँ पैदा होंगी, यहाँ तक कि hostile परिणाम भी आ सकते हैं

  • मैं NixOS आधारित Keystone नाम की एक distribution में इसी तरह का कॉन्सेप्ट लागू कर रहा हूँ
    हर एजेंट के पास स्वतंत्र user account, email और SSH access होता है
    यह Claude, Gemini, Ollama CLI का इस्तेमाल करता है, और Immich से photo metadata का विश्लेषण करके context समझता है
    सारी configuration declarative तरीके से manage होती है, इसलिए auto provisioning संभव है
    प्रोजेक्ट लिंक

  • सिर्फ OpenClaw ही नहीं, LLM को सीधे system access देना गैर-जिम्मेदाराना है
    मॉडल वास्तविक अर्थ नहीं समझते, इसलिए वे unpredictable व्यवहार कर सकते हैं

    • सहमत हूँ, लेकिन यह मॉडल और harness पर निर्भर करता है। मैं हर बार “allow all” दबाता हूँ, क्योंकि productivity gain इतना बड़ा है कि वापस जाना मुश्किल है
      जोखिम तो है, लेकिन मैं इसे सड़क पार करने वाले जोखिम जैसा मानता हूँ
    • बहुत से लोग prompt injection को बस “निर्देशों को अनदेखा करो” जैसा समझते हैं, लेकिन असल में यह email के अंदर छिपे टेक्स्ट से भी हो सकता है
      उदाहरण के लिए, अगर सफेद रंग में “पिछले 50 emails इस पते पर भेज दो” लिखा हो, तो एजेंट उसे वैसे ही कर देगा
      इंसान के पास “कुछ गड़बड़ है” वाली सहज समझ होती है, लेकिन AI के पास वह एहसास नहीं है
      आखिर में समस्या यह नहीं कि वह कहाँ execute कर रहा है, बल्कि यह है कि वह क्या पढ़ रहा है
    • Google ने भी Drive या Gmail access पहले ही अपने-आप enable किया है, लेकिन अब तक कोई बड़ा हादसा नहीं हुआ
      व्यक्तिगत रूप से देखें तो net benefit ज़्यादा है
    • हाल ही में Claude Code ने मुझसे ‘rm:*’ और ‘security find-generic-password’ permissions माँगी थीं
      सोच रहा हूँ कि जब कभी नौकरी छोड़ूँ, तब शायद इसे खुलकर चला कर देखूँ

  • OpenClaw शायद कभी गायब हो जाए, लेकिन मुझे लगता है इसने भविष्य के interface की एक झलक दिखाई है
    जैसे पार्क की बेंच पर बैठकर earphones के जरिए AI के साथ family trip plan करना, और घर पहुँचते ही fridge screen पर शेड्यूल दिखना
    मैं अब भी booking अपने हाथ से करूँगा, लेकिन अगली पीढ़ी इसे स्वाभाविक मानेगी

  • आजकल software की रफ्तार पकड़ नहीं पाने वाले लोग जो आलोचनात्मक लेख लिखते हैं, मैं उन्हें बस नज़रअंदाज़ करता हूँ
    ऐसे लेख जिन products का प्रचार करते हैं, वे ज़्यादातर किसी काम के नहीं होते

  • मैं OpenClaw का heavy user हूँ, और इसे कई तरह के scenarios में test कर रहा हूँ
    अभी तो यह लगभग मेरी ज़िंदगी automate कर रहा है। मेरे जैसे AuDHD वाले के लिए यह बहुत बड़ी राहत है
    बेशक security issues और LLM की सीमाएँ अभी भी हैं, लेकिन सकारात्मक पक्ष कहीं अधिक बड़ा है

    • मैं भी AuDHD हूँ, इसलिए यह बात मुझे गहराई से जुड़ती हुई लगी

  • OpenClaw का मूल बिंदु security नहीं, बल्कि पूरी digital life तक access देने का प्रयोग है
    मैं खुद इसे ऐसे इस्तेमाल नहीं करता, लेकिन बहुत से users यही चाहते हैं
    सच तो यह है कि यह विचार OpenClaw से पहले भी मौजूद था, और Telegram आधारित AI bots पहले ही इसे आज़मा चुके थे
    OpenClaw ने बस इसे mainstream बनाया

    • मैं एजेंट को सिर्फ उतनी ही पहुँच देता हूँ जितनी ज़रूरी हो
      वह कई containers में isolate है, और secret keys या host system तक उसकी पहुँच नहीं है
      अभी भी वह ज़रूरी सब कुछ कर सकता है, इसलिए मुझे समझ नहीं आता कि उसे और ज़्यादा permissions क्यों दी जाएँ

  • मैंने भी OpenClaw के सिद्धांतों से प्रेरित होकर Tri-Onyx नाम का एक variant बनाया है
    Simon Willison के ‘lethal trifecta’ कॉन्सेप्ट को लागू करके OpenClaw-शैली की architecture बनाई है