前开发人员推出了 OpenClaw 遗漏的期待已久的安全组件

简而言之

Tank OS 将 OpenClaw 打包为可启动系统映像。

通过此实现，每个代理都使用自己的凭据在隔离的容器中运行，并且任何实例都无法访问主机或其他代理。

安全审核将 12-20% 的 ClawHub 附加组件标记为恶意。

红帽首席软件工程师 Sally O'Malley 花了一个周末解决了大多数企业 IT 团队还不知道的问题。 Tank OS 是一款开源工具，它将 OpenClaw（一种可以轻松部署 AI 代理的热门新软件）打包到一个安全、独立的环境中，并将其作为可启动的系统映像提供给您，您可以将其推送到任何机器：云服务器、虚拟机或物理硬件。

换句话说，如果你（或你的代理人）把事情搞砸了，这种隔离级别会将损害控制在“没关系”的范围内。

您无需在每台计算机上手动安装 OpenClaw 并希望有人正确配置它，而是发布一个映像（操作系统和代理的完整快照），并且从该映像启动的每台计算机都会获得完全相同的设置。更新的工作方式相同：交换映像，重新启动，完成。无需手动打补丁。

Tank OS 的名字来源于安全部分。每个 OpenClaw 实例都在一个容器内运行 - 一种计算机内部有围墙的盒子，无法超出其自身边界。

至关重要的是，O'Malley 使用了 Podman，这是 Red Hat 开发的容器工具，无需管理员权限即可运行。这意味着即使容器内部出现问题，它也无法触及机器的其余部分。

API 密钥（将 OpenClaw 连接到电子邮件或 Slack 等服务并使您的计算机能够与所有这些服务通信的“密码”）按实例单独存储。一名特工无法看到另一名特工的凭据。容器内的任何内容都无法到达主机系统。

O'Malley 本人是 OpenClaw 的维护者，这意味着她帮助创建者 Peter Steinberger 决定发布哪些功能以及修复哪些错误，她特别关注企业用例和红帽的 Linux 生态系统。 Tank OS 不是第三方补丁。它反映了项目内部人员认为企业强化实际上需要走向何方。

考虑到现在几乎每个人都在使用这些工具，但很少有人知道它们实际上是做什么操作的，因此代理人工智能时代的安全性极其重要。这为技术精湛的黑客和攻击者发出了开放的邀请。

例如，DepthFirst 的安全研究员 Mav Levin 在 1 月下旬披露了 CVE-2026-25253，该漏洞按照全球安全研究人员使用的严重程度评分为 8.8 分（满分 10 分）。这是一次一键式攻击：在 OpenClaw 运行时访问错误的网页足以让攻击者获得您的登录凭据并完全控制您的计算机。该修复程序于 1 月 30 日发布。在此之前，已有超过 17,500 个暴露实例存在漏洞。

该存储库针对的是红帽的客户企业，但在容器中运行代理的想法甚至对于家庭用户来说也可能是个好建议。

“我在 OpenClaw 中的角色确实是我对它的兴趣，”奥马利告诉 TechCrunch。 “当有数百万个自主代理相互交谈时，它看起来会是什么样子。”

Tank OS 现已在 github.com/LobsterTrap/tank-os 上提供。