Бывший разработчик представляет долгожданный компонент безопасности, который OpenClaw не учел
Вкратце
Tank OS упаковывает OpenClaw в качестве загрузочного образа системы.
При такой реализации каждый агент работает в изолированном контейнере со своими учетными данными, и ни один экземпляр не может получить доступ к хост-компьютеру или другим агентам.
В ходе аудита безопасности 12–20% надстроек ClawHub были помечены как вредоносные.
Главный инженер-программист Red Hat Салли О'Мэлли провела выходные, решая проблему, о которой большинство корпоративных ИТ-команд еще не подозревают. Результатом является Tank OS, инструмент с открытым исходным кодом, который упаковывает OpenClaw — новое популярное программное обеспечение, которое упрощает развертывание агентов ИИ — внутри безопасной, автономной среды и доставляет его в виде готового к загрузке образа системы, который можно перенести на любую машину: облачный сервер, виртуальную машину или физическое оборудование.
Другими словами, если вы (или ваш агент) облажаетесь, этот уровень изоляции будет сдерживать ущерб в пределах территории «все в порядке».
Вместо того, чтобы вручную устанавливать OpenClaw на каждый компьютер и надеяться, что кто-то настроил его правильно, вы публикуете один образ — полный снимок операционной системы плюс агент — и каждая машина, загружающаяся с него, получает точно такие же настройки. Обновления работают одинаково: смена образа, перезагрузка, готово. Никаких ручных исправлений.
Компонент безопасности — это то, из-за чего Tank OS получила свое название. Каждый экземпляр OpenClaw работает внутри контейнера — своего рода огороженного ящика внутри компьютера, который не может выйти за пределы своих границ.
Важно отметить, что О'Мэлли использовал Podman, контейнерный инструмент, разработанный в Red Hat и работающий без прав администратора. Это означает, что даже если что-то пойдет не так внутри контейнера, это не затронет остальную часть машины.
Ключи API — «пароли», которые подключают OpenClaw к таким службам, как электронная почта или Slack, и позволяют вашему компьютеру взаимодействовать со всеми этими службами — хранятся отдельно для каждого экземпляра. Один агент не может видеть учетные данные другого. Ничто внутри контейнера не может достичь хост-системы.
О'Мэлли сама занимается сопровождением OpenClaw, то есть помогает создателю Питеру Стейнбергеру решить, какие функции будут добавлены и какие ошибки будут исправлены, уделяя особое внимание корпоративным вариантам использования и экосистеме Linux Red Hat. Tank OS не является сторонним патчем. Это отражает то, куда, по мнению кого-то из участников проекта, на самом деле необходимо пойти по усилению защиты предприятия.
Безопасность в эпоху агентного ИИ чрезвычайно важна, учитывая, что сейчас почти все используют эти инструменты, но не многие знают, что они на самом деле делают, чтобы работать. Это создает открытые двери для технически подкованных хакеров и злоумышленников.
Например, в конце января исследователь безопасности Мэв Левин из DepthFirst раскрыла CVE-2026-25253 — уязвимость с рейтингом 8,8 из 10 по шкале серьезности, используемой исследователями безопасности во всем мире. Это была атака в один клик: посещения неправильной веб-страницы во время работы OpenClaw было достаточно, чтобы передать злоумышленнику ваши учетные данные и полный контроль над вашим компьютером. Исправление было выпущено 30 января. До этого более 17 500 открытых экземпляров были уязвимы.
Этот репозиторий предназначен для предприятий-клиентов Red Hat, но идея запуска агентов в контейнерах может оказаться хорошим советом даже для домашних пользователей.
«Моя роль в OpenClaw действительно связана с моим интересом к нему», — сказал О'Мэлли TechCrunch. «Как это будет выглядеть в масштабе, когда миллионы этих автономных агентов разговаривают друг с другом».
ОС Tank уже доступна на github.com/LobsterTrap/tank-os.