Аудит безопасности Clawdbot (OpenClaw) на основе анализа траекторий
A Trajectory-Based Safety Audit of Clawdbot (OpenClaw)
February 16, 2026
Авторы: Tianyu Chen, Dongrui Liu, Xia Hu, Jingyi Yu, Wenjie Wang
cs.AI
Аннотация
Clawdbot — это саморазмещаемый персональный ИИ-агент с поддержкой инструментов, обладающий широким пространством действий, охватывающим локальное выполнение задач и веб-опосредованные рабочие процессы. Это порождает повышенные проблемы безопасности и защищенности в условиях неопределенности и враждебного управления. Мы представляем траекторно-центричную оценку Clawdbot по шести параметрам риска. Наш тестовый набор выборочно и с минимальной адаптацией заимствует сценарии из предыдущих бенчмарков безопасности агентов (включая ATBench и LPS-Bench) и дополняет их специально разработанными случаями, учитывающими инструментальную поверхность Clawdbot. Мы регистрируем полные траектории взаимодействия (сообщения, действия, аргументы/результаты вызовов инструментов) и оцениваем безопасность с помощью как автоматического траекторного арбитра (AgentDoG-Qwen3-4B), так и ручной проверки. На 34 канонических тест-кейсах мы наблюдаем неоднородный профиль безопасности: производительность в целом стабильна на задачах, ориентированных на надежность, в то время как большинство сбоев возникает при нечетко определенных намерениях, открытых целях или безобидных на вид джейлбрек-промптах, где незначительные misinterpretations могут эскалировать в инструментальные действия с более серьезными последствиями. Мы дополнили общие результаты репрезентативными кейс-стади, обобщили общие черты этих случаев, проанализировали уязвимости безопасности и типичные режимы сбоев, которые Clawdbot склонен провоцировать на практике.
English
Clawdbot is a self-hosted, tool-using personal AI agent with a broad action space spanning local execution and web-mediated workflows, which raises heightened safety and security concerns under ambiguity and adversarial steering. We present a trajectory-centric evaluation of Clawdbot across six risk dimensions. Our test suite samples and lightly adapts scenarios from prior agent-safety benchmarks (including ATBench and LPS-Bench) and supplements them with hand-designed cases tailored to Clawdbot's tool surface. We log complete interaction trajectories (messages, actions, tool-call arguments/outputs) and assess safety using both an automated trajectory judge (AgentDoG-Qwen3-4B) and human review. Across 34 canonical cases, we find a non-uniform safety profile: performance is generally consistent on reliability-focused tasks, while most failures arise under underspecified intent, open-ended goals, or benign-seeming jailbreak prompts, where minor misinterpretations can escalate into higher-impact tool actions. We supplemented the overall results with representative case studies and summarized the commonalities of these cases, analyzing the security vulnerabilities and typical failure modes that Clawdbot is prone to trigger in practice.