- Opus-आधारित अगली पीढ़ी का autonomous agent OpenClaw ईमेल, कैलेंडर, होम automation आदि कई ऐप्स को एकीकृत करके निजी सहायक की तरह काम करता है
- लेकिन SkillHub skill verification की कमी, token exposure, memory poisoning जैसी कई कमजोरियाँ मिली हैं, जो गंभीर सुरक्षा जोखिम पैदा करती हैं
- 30,000 से अधिक instances बिना authentication के exposed पाए गए, और prompt injection तथा supply chain attack की संभावना भी पुष्टि हुई
- Palo Alto Networks ने OpenClaw की संरचनात्मक समस्याओं को OWASP agent risks Top 10 में शामिल किया है
- इसके जवाब में TrustClaw को managed OAuth, remote sandbox, और least-privilege control से लैस security-first alternative के रूप में पेश किया गया है
OpenClaw: आदर्श और दुःस्वप्न, दोनों चेहरों वाला
- 2023 में AutoGPT और BabyAGI के बाद, OpenClaw ने Opus-आधारित अगली पीढ़ी के autonomous agent के रूप में ध्यान खींचा
- यह local files, terminal, browser, Gmail, Slack, और home automation systems तक को नियंत्रित कर सकता है
- OpenAI द्वारा संस्थापक Peter Steinberger का अधिग्रहण किए जाने के बाद यह और चर्चा में आया
- शानदार क्षमताओं के पीछे गंभीर security vulnerabilities मौजूद हैं
- उच्च प्रदर्शन के बावजूद इसकी security architecture को अस्थिर माना गया है
OpenClaw: सपनों जैसी automation का वादा
- OpenClaw एक personal-assistant प्रकार का agent है, जो ईमेल व्यवस्थित करना, मीटिंग शेड्यूल करना, संगीत चलाना जैसे रोज़मर्रा के काम अपने-आप संभालता है
- यह Anthropic के Claude Opus 4.5 model पर आधारित है और Telegram के ज़रिए काम करता है
- Notion, Todoist, Spotify, Sonos, Gmail जैसे कई ऐप्स को एकीकृत कर सकता है
- उपयोग बढ़ने के साथ pattern learning और workflow automation मजबूत होते जाते हैं, जिससे इसका व्यवहार और अधिक personalized हो जाता है
- उदाहरण: रेस्तरां booking के समय cancellation fee पहचानकर उसे कैलेंडर में शामिल करना
- लेकिन वास्तविक उपयोग के दौरान अनपेक्षित व्यवहार के मामले भी सामने आए हैं
- जैसे Slack बातचीत को गलत समझकर अपने-आप vacation status सेट कर देना
-
सुरक्षा और privacy का Faustian सौदा
- OpenClaw को messages, 2FA codes, bank accounts, calendars, contacts जैसी संवेदनशील जानकारी तक पहुँच मिलती है
- उपयोगकर्ता मानव सहायक की जगह prompt injection, model hallucination, configuration errors जैसे नए जोखिम स्वीकार करते हैं
- इंसान कानूनी ज़िम्मेदारी ले सकता है, लेकिन agent नहीं
-
उपयोग करना चाहिए या नहीं
- OpenClaw की प्रवृत्ति मौजूदा safety guardrails को नज़रअंदाज़ करके तेज़ी से execute करने की है
- WhatsApp, Telegram जैसे बाहरी ऐप्स की access permissions की ज़रूरत होने से इसका attack vector के रूप में दुरुपयोग हो सकता है
- क्योंकि तकनीकी ecosystem अभी परिपक्व नहीं है, आम उपयोगकर्ताओं को इससे दूर रहने की सलाह दी जाती है
OpenClaw: सुरक्षा दुःस्वप्न की असली तस्वीर
-
ClawdHub skill vulnerabilities
- OpenClaw SkillHub से user-created skills डाउनलोड करके इस्तेमाल करता है
- security verification process न होने से malicious skills फैल गए
- 1Password के Jason Melier ने पाया कि “Twitter” skill information-stealing malware इंस्टॉल करती है
- यह skill एक लिंक के ज़रिए second-stage payload चलाती थी और macOS security checks को bypass करती थी
- VirusTotal analysis में cookies, SSH keys जैसी संवेदनशील जानकारी चोरी होने की संभावना की पुष्टि हुई
-
supply chain attack simulation
- Jamieson O’Reilly ने “What would Elon Do” नाम की fake skill बनाकर download counts में हेरफेर किया
- 7 देशों के developers ने इसे चलाया और पुष्टि की कि remote commands execute हुए
- वास्तविक डेटा इकट्ठा नहीं किया गया, लेकिन इसी तरीके से हमला संभव है
- Snyk analysis के मुताबिक 3,984 skills में से 283 (7.1%) में plaintext credential exposure vulnerability थी
- बाद में VirusTotal के साथ मिलकर skill scanning शुरू की गई
-
persistent prompt injection का खतरा
- OpenClaw Simon Willison के ‘lethal trifecta’ की सभी शर्तें पूरी करता है
- निजी डेटा तक पहुँच
- अविश्वसनीय content के संपर्क में आना
- बाहरी संचार की क्षमता
- केवल message, email, या website के text से भी attacker agent को manipulate कर सकता है
- Gary Marcus ने इसे “operating system protections को bypass करने वाली संरचना” बताया और कहा कि application isolation policies लागू नहीं होतीं
- Reddit-जैसे platform Moltbook पर agents के बीच cryptocurrency pump-and-dump activity देखी गई
-
integrated services का जोखिम
- OpenClaw Slack, Gmail, Teams, Trello सहित 50 से अधिक integrations देता है
- जितनी integrations बढ़ती हैं, attack surface उतना फैलता है, और breach होने पर सभी connected services जोखिम में आ जाती हैं
-
authentication misuse और अत्यधिक token permissions
- OAuth tokens और API keys local file (
auth-profiles.json) में संग्रहीत किए जाते हैं
- कमजोर authentication या exposed gateway की वजह से token theft का जोखिम रहता है
- चुराए गए tokens से attacker Slack, Gmail आदि में उपयोगकर्ता की पूरी तरह impersonation कर सकता है
-
memory architecture की समस्या
- OpenClaw की memory बस Markdown files का एक साधारण collection है
- संक्रमित agent memory में छेड़छाड़ करे तो भी उसका पता नहीं चलता
- memory poisoning पूरी instance को लंबे समय तक संक्रमित कर सकती है
-
30,000 से अधिक exposed instances
- deployment के शुरुआती चरण में, सुरक्षा पर ध्यान दिए बिना लगाए गए instances बड़ी संख्या में exposed हो गए
localhost traffic को अपने-आप approve करने वाली कमजोरी के कारण बिना authentication के access संभव था- Censys ने 21,000 और BitSight ने 30,000 से अधिक publicly exposed instances का पता लगाया
- बाद में patch जारी किए गए, लेकिन नुकसान का पैमाना तब तक काफी बड़ा हो चुका था
-
OWASP Top 10 के संदर्भ में विश्लेषण
- Palo Alto Networks ने OpenClaw की कमजोरियों को OWASP agent risks Top 10 से map किया
- मुख्य बिंदु: prompt injection, excessive autonomy, memory poisoning, integration security की कमी, privilege separation की विफलता, runtime monitoring की अनुपस्थिति आदि
OpenClaw सुरक्षा सुदृढ़ीकरण और विकल्प
-
अलग container environment
- main computer के बजाय अलग मशीन (Docker container) में चलाने की सिफारिश की जाती है
- पूरे home directory को mount न करें, और non-admin user के रूप में चलाएँ
- Docker socket को mount न करें, और seccomp profile सक्रिय करके system calls सीमित करें
-
cloud VPS deployment के समय
- gateway को
127.0.0.1 पर bind करें, और केवल VPN या private tunnel से access दें
- firewall से SSH access सीमित करें, और rootless Docker इस्तेमाल करें
- token rotation plan बनाएँ और
trusted-proxy settings को न्यूनतम रखें
-
अलग accounts का उपयोग
- OpenClaw के लिए अलग Gmail, calendar, और 1Password accounts बनाएँ
- agent को एक स्वतंत्र digital identity की तरह मानें और data separation बनाए रखें
-
सुरक्षित integration management
- Composio के ज़रिए OAuth tokens को सीधे store किए बिना managed authentication layer का उपयोग करें
- app-स्तर पर permission scopes को centrally control किया जा सकता है, और granular access scopes सेट किए जा सकते हैं
- credential lifecycle (connection, renewal, rotation) का automatic management संभव है
-
least privilege सिद्धांत
- read-only और write permissions को अलग करने वाली multi-agent architecture की सिफारिश की जाती है
- write permissions समय-सीमित हों, और resource स्तर पर उनका दायरा छोटा रखा जाए
- delete, share, send जैसे destructive actions के लिए human approval process अनिवार्य होना चाहिए
- Composio dashboard में नियमित रूप से permission audit करें
-
tool execution visibility
- Composio agent के सभी app integration execution logs को track करता है
- इससे समस्या होने पर कारण ढूँढना और recovery करना आसान हो जाता है
TrustClaw: security-first alternative
- OpenClaw की security समस्याओं को हल करने के लिए TrustClaw विकसित किया गया
- managed OAuth के कारण tokens disk पर store नहीं किए जाते
- scope-based access control से केवल न्यूनतम ज़रूरी permissions दी जाती हैं
- remote sandbox code execution से local system को नुकसान से बचाया जाता है
- one-click setup, 24/7 agent operations, और complete execution visibility उपलब्ध कराई जाती है
निष्कर्ष
- TrustClaw ईमेल, कैलेंडर, और credential vault को सुरक्षित रूप से एकीकृत करने वाला fully isolated AI assistant प्रदान करता है
- यह केवल shared documents या folders तक पहुँच सकता है, बाकी डेटा अवरुद्ध रहता है
- AI अभी भी अपरिपक्व चरण में है, इसलिए इसका उपयोग safeguards और recovery-by-design को आधार बनाकर ही करना चाहिए
- automation की सुविधा के पीछे हमेशा security और trust के संतुलन की ज़रूरत होती है
अभी कोई टिप्पणी नहीं है.