Modelul de securitate al OpenClaw este rupt prin design. Procesul de dezvoltare este un val de PR-uri scrise de AI care sunt fuzionate cu o revizuire aparent minimă, iar răspunsul întreținerii la vulnerabilitățile documentate a fost să spună că proiectul este un hobby și că oamenii ar trebui să trimită patch-uri dacă vor ca lucrurile să fie reparate. NemoClaw de la Nvidia îmbunătățește postura de rulare în jurul OpenClaw, dar nu face din OpenClaw în sine o limită de încredere bine concepută. Acesta include agentul și nu schimbă faptul că proiectul de bază a instruit utilizatorii să conecteze un set larg de servicii la un sistem care, din punct de vedere istoric, a tratat încrederea locală, a stocat acreditările și execuția pluginului prea casual.
Nimic din toate acestea nu înseamnă că nu vreau de ce este capabil OpenClaw, pentru că vreau. Un agent persistent care trăiește pe hardware-ul meu, își amintește ce i-am cerut să facă și poate să mă contacteze în aplicațiile pe care le folosesc deja, sună uimitor. De fapt, îmi imaginez că este ceva a lot dintre oameni își doresc, deoarece este viitorul AI la care mulți oameni l-au visat atunci când aceste lucruri au început să descopere. Ceea ce nu vreau este un proiect în care cheile mele API ajung într-un fișier .bak și websocket-ul meu este accesibil prin orice filă din browserul meu.
Agentul Hermes, de la Nous Research, a făcut în liniște ceea ce a promis OpenClaw, cu excepția disciplinei de inginerie pe care această categorie o cere. L-am configurat pe Mac, l-am îndreptat către Qwen3.6-35B-A3B care rulează pe Lenovo ThinkStation PGXși a creat un flux de lucru zilnic de știri tehnologice care trage din câteva locuri în fiecare dimineață. Mi-a plăcut. Poarta de acces este încă o suprafață de atac la care să ne gândim, iar injectarea promptă nu este rezolvată încă de nimeni (și nici nu pare că ar putea fi vreodată), dar Hermes tratează securitatea ca pe o constrângere de pornire, unde OpenClaw o tratează ca pe o clasă de erori pentru a o tria mai târziu.
Politica de securitate este diferența majoră
Hermes pune mult accent pe securitate
OpenClaw are peste o mie de colaboratori și o mare parte de corecții generate de AI. Pentru cea mai mare parte a vieții publice a proiectului, acea combinație a însemnat o mulțime de coduri aterizate cu o revizuire minimă și fără un model de securitate matur sub el, fondatorul proiectului spunând chiar și o dată „Exprim codul pe care nu îl citesc”. Când Ox Security a dezvăluit acreditările în text simplu, fișierele .bak, cele peste o sută de utilizări ale eval în baza de cod și restul descoperirilor din ianuarie 2026, declarația creatorului le-a fost: „Aceasta este o previzualizare tehnologică. Un hobby. Dacă vrei să ajuți, trimite un PR. Odată ce este gata de producție sau vulnerabilități, bucurați-vă să vă uitați la vulnerabilități.” Ulterior, raportul ClawJacked al Oasis Security pe websocket-ul localhost a primit o remediere în mai puțin de o zi, iar SECURITY.md și limita de 20 de PR-per-autor au apărut de atunci în depozit. Dar acele balustrade au intrat la câteva săptămâni și luni după ce a început presiunea publică, nu înainte. Securitatea nu este o constrângere inițială pentru acel proiect, ci o fază la care se pare că întreținerii trec sub presiune.
Hermes este construit de Nous Research, unul dintre cele mai serioase grupuri de cercetare AI deschise din jur. Repo-ul are un SECURITY.md cu o fereastră de dezvăluire coordonată de 90 de zile, o căsuță de e-mail de securitate privată și o listă explicită a ceea ce este în și în afara domeniului de aplicare. Hermes se mișcă și el rapid, dar are balustrade explicite în ceea ce privește revizuirea, CI, fixarea dependenței, dezvăluirea și limitele de rulare. Viteza nu a fost problema lui OpenClaw în sine; modelul de securitate lipsă de sub el era. Există chiar și un script check-windows-footguns.py în CI care blochează erorile subtile pe mai multe platforme precum os.kill(pid, 0) să nu se strecoare.
Pagina de securitate orientată către utilizator de pe site-ul Hermes Docs este disponibilă din luna martie, extinzându-se pe măsură ce modelul de amenințare, împachetând șapte straturi de apărare în profunzime, o comparație explicită de izolare între backend-urile terminale și o notă clară că backend-ul local nu oferă izolarea gazdei. Documentele echivalente ale OpenClaw fac opusul. Ei își petrec cea mai mare parte a spațiului declarând ceea ce este în afara domeniului de aplicare: utilizare adversă multi-locatari, identificatorii de sesiune ca ceva mai mult decât rutare, aprobările executivului ca ceva mai mult decât balustradele operatorului. Istoricul propriu al proiectului SECURITY.md este de zeci de angajamente „domenii de aplicare X ca durificare” adăugate după dezvăluiri. Documentele OpenClaw sunt în mare parte o listă de implementări pe care proiectul refuză să le apere, inclusiv cea pe care o execută de fapt majoritatea utilizatorilor OpenClaw.
Pentru a vă face o idee despre ceea ce este considerat în afara domeniului de aplicare, imaginați-vă un server de acasă care rulează OpenClaw, partajat între un cuplu, astfel încât ambii să poată trimite DM asistentului de pe telefoanele lor, conectat la Google și GitHub, astfel încât agentul să poată face lucruri în numele lor. Conform documentelor OpenClaw, această configurare este în afara domeniului de aplicare. „Un apelant autentificat la Gateway este de încredere în domeniul Gateway”, spune politica, iar „identificatorii de sesiune (sessionKey, ID-uri de sesiune, etichete) sunt selectori de rutare, nu jetoane de autorizare”. Cu alte cuvinte, oricine ajunge la gateway este operator complet pentru fiecare serviciu conectat. Dacă un telefon este compromis sau parola se scurge, atacatorul îndeplinește definiția propriei politici a unui operator de încredere.
Pentru a fi corect, Hermes nu rezolvă nici problema de partajare a acreditărilor. Utilizatorii Hermes autorizați partajează un container și au acces la aceleași servicii conectate, fără RBAC per utilizator în interiorul agentului. Diferența este că Hermes oferă controalele pentru implementarea pe care OpenClaw refuză să le apere: identitatea platformei prin Telegram sau Discord, mai degrabă decât o parolă de gateway partajată, liste de permise și coduri de asociere DM care expiră într-o oră și sunt limitate la rata și un nivel de administrare versus obișnuit care restricționează comenzile slash în funcție de rol. Sistemul de operare este încă limita în ambele proiecte. Hermes documentează și configurează straturile de deasupra acestuia; OpenClaw le analizează. Politica în sine se deschide cu o propoziție mai utilă decât orice în repo OpenClaw: „Singura limită de securitate împotriva unui LLM adversar este sistemul de operare”.
Toate celelalte nave Hermes (porți de aprobare pentru comenzile de obuze distructive, redarea ieșirii pentru modele secrete, scanerul de injecție Skills Guard) este încadrat în mod explicit ca prevenire a accidentelor, nu izolare. Skills Guard nu este o cutie de nisip, iar Hermes nu pretinde altfel. Limita reală este sistemul de operare, containerul sau cutia de nisip. Sună evident, dar proiectele agenților continuă să estompeze aceste linii, iar Hermes este neobișnuit de clar unde se află linia.
De acolo, proiectul vă oferă două posturi reale de izolare:
- Izolare terminal-backend: Aceasta limitează operațiunile shell și fișier la un container sau un sandbox, dar lasă procesul Python în sine nerestricționat
- Limitarea întregului proces prin Docker sau Nvidia OpenShell: Aceasta protejează fiecare cale de cod, inclusiv pluginuri și subprocesele MCP.
Comparați acest lucru cu OpenClaw, care a stocat acreditările în text simplu sub ~/.clawdbot, a expus un socket web localhost în care orice pagină web rău intenționată ar putea intra cu forța brută, a păstrat copii .bak ale cheilor șterse și a avut peste 100.000 de instanțe accesibile public în momentul de vârf al panicii. Atunci nu exista o limită de securitate și tot nu aș fi tratat-o ca având una acum. Cutia de nisip NemoClaw ajută, dar moștenește valorile implicite și documentația OpenClaw, astfel încât agentul din interiorul cutiei de nisip ajunge în continuare cu aceeași cultură wire-everything-up în jurul său.
Hermes face ca cel mai mic privilegiu să fie practic
Aceasta include abilitățile pe care le scrie pentru sine
Lucrul care face ca instrumentele agentice să fie periculoase nu este agentul în sine, ci suprafața pe care o conectezi. Hermes acceptă o listă lungă de gateway-uri, inclusiv Telegram, Discord, Slack, WhatsApp, Signal, Matrix, Email, SMS și Home Assistant. Acceptă fluxuri OAuth pentru Google, GitHub și mai mulți furnizori de servicii/modele și oferă peste 40 de instrumente încorporate plus integrare MCP completă. M-am conectat în mod deliberat aproape nici unul din ea. Cel mai sigur agent este cel care este încă util după ce îi refuzi majoritatea accesului.
Instanța mea nu are e-mail, calendar, acces la aplicație de mesaje (în afară de Telegram) și nici acreditări de producție în mediul său. LXC se așează pe o VLAN firewall din cea mai mare parte a rețelei mele, așa că, chiar dacă modelul a devenit necinstit, nu are prea multe la care să ajungă. Dacă cineva compromite LLM, nu există nimic important la care să aibă acces brusc. Utilizatorii OpenClaw au avut tendința de a conecta totul, deoarece interfața de utilizare a făcut-o ușor, iar documentația l-a încurajat. Documentele lui Hermes fac din „aprobarea comenzilor, împerecherea DM, izolarea containerului” configurația implicită și pun fluxul de împerechere a platformei în față și în centru, mai degrabă decât îngropare. Valorile implicite contează, deoarece majoritatea oamenilor configurează agenții așa cum le spune tutorialul.
Abilitățile sunt una dintre cele mai interesante părți ale Hermes Agent. ClawHub de la OpenClaw a fost în esență o piață de abilități terță parte, iar acele abilități au devenit suficient de periculoase încât proiectul a colaborat cu VirusTotal pentru a încerca să filtreze încărcările rău intenționate. Hermes acceptă și abilitățile externe, dar schimbă valoarea implicită. Când agentul termină o sarcină non-trivială, scrie un document structurat de abilități care descrie ceea ce a făcut, iar data viitoare când atinge o sarcină similară, încarcă acea abilitate înapoi în context ca ghid.
Acest lucru face încrederea mult mai simplă: pot citi fiecare abilitate pe care agentul și-a scris-o pentru sine, pot decide dacă procedura este una pe care vreau să o facă în continuare și, dacă nu, o pot edita sau șterge. Hermes devine considerabil mai util cu cât îl folosiți mai mult, iar fluxul de lucru zilnic de știri a fost repetat de modelul însuși pe baza a ceea ce spun că îmi place sau nu.
Hermes nu este indestructibil
Dar este încă util fără acreditări
Hermes nu este „securizat” în sensul că atenuează fiecare problemă pe care OpenClaw a avut-o, dar o îmbunătățește semnificativ. Un agent cu acreditări pentru serviciile dvs. este în continuare un agent cu acreditări pentru serviciile dvs., indiferent cât de curat este proiectat. Injectarea promptă nu este rezolvată, iar un proiect bine conceput nu este același lucru cu o implementare bine configurată. Puteți încă să vă configurați drumul într-o zi proastă dacă conectați suficiente servicii la o singură cutie fără să vă gândiți la asta.
Diferența dintre Hermes și OpenClaw este în filozofia dezvoltării: unul tratează securitatea ca pe un must-have, celălalt ca pe un frumos de a avea. Tot nu l-aș conecta pe Hermes la nimic care contează, dar dacă aș avut la, aș avea mult mai multă încredere în el decât în OpenClaw. Hermes nu este mai sigur pentru că suportă mai puține lucruri periculoase; suporta o multime. Se simte mai în siguranță pentru că pot să-l refuz pe cei mai mulți dintre ei și totuși ajung cu ceva util. Un agent numai Telegram într-un LXC blocat, fără jetoane de producție, este o mașină foarte diferită de un asistent mereu activ, cu acreditări de browser, mesagerie, e-mail, shell și text simplu, toate partajând aceeași zonă de încredere.
Momentul în care am simțit că pot să-l las pe Hermes să funcționeze a fost migrarea Proxmox. Am creat LXC, am introdus o cheie SSH și am cerut agentului să se mute. Acesta și-a extras propria configurație, memorie, abilități și lista de comenzi permise, a repornit pe noua gazdă și s-a reconectat la punctul final al modelului fără a mai ține mâna. Singurul lucru pe care a trebuit să-l repar ulterior a fost o lucrare cron care a fixat un nume de model mai vechi, deoarece a fost setat la „null” în loc de Qwen3.6-35B-A3B. O migrare curată într-o gazdă izolată este exact mișcarea pe care doriți ca un agent să o facă ușor și este exact mișcarea împotriva căreia modelul de încredere al OpenClaw luptă.
Singurul lucru pe care instanța mea îl poate compromite este o listă de citire de dimineață, câteva note și o mână de scripturi de recuperare a datelor. Nu am nicio reținere cu asta și asta este ideea.
Leave a Reply