← Natrag na listu

weekly-2026-04-26.md

🔬 Weekly 🔴 3 🟡 5 🟢 2

Weekly Deep Audit — 2026-04-26 — 🔒 Security & Infrastructure

Scope

Tjedan 4: 🔒 Security & Infrastructure

Findings

  • 🔴 Open Telegram group + full exec ostaje najveći rizikopenclaw security audit --deep i dalje prijavljuje channels.telegram.groupPolicy="open", a više agenata (main, alex, spider, matrix, georga, leo, profesor, nikola, junior, nexus, cron-main, cron-profesor) ima exec security=full i runtime/fs alate bez sandboxa. To je izravna prompt-injection i privilege-escalation površina. Preporuka: zatvoriti groupPolicy na allowlist/pairing i smanjiti exec exposure na najmanji potreban skup.

  • 🔴 OpenClaw security audit prijavljuje 8 critical / 6 warn bez vidljivog pada trenda — kritični nalazi više nisu file-permission tipa nego arhitekturni: open channels + elevated/runtime/fs exposure + multi-user trust mismatch. To znači da je posture funkcionalan, ali sigurnosno i dalje previše otvoren za shared-chat okruženje. Preporuka: tretirati ovo kao prioritetniji risk od “sitnih” permission fixeva.

  • 🔴 Sumnjivi skillovi i dalje su prisutni u oba workspacea — audit označava skills/last30days i skills/reddit-readonly zbog patterna env-harvesting (kombinacija env access + network send), uključivo u /workspace i /workspace-alex. Dok se ručno ne pregleda ili izolira, to ostaje opskrbni/supply-chain rizik. Preporuka: review + quarantine/uklanjanje neprovjerenih skillova prije iduće uporabe.

  • 🟡 Portal je i dalje vezan na 0.0.0.0:8085ss -ltnp pokazuje uvicorn na svim interfejsima, iako je health check uspješan (curl localhost:8085). To je operativno dobro za dostupnost, ali povećava exposure ako host/network shielding nije strogo definiran. Preporuka: potvrditi je li javni/LAN bind namjeran; ako nije, vratiti na loopback ili staviti iza eksplicitnog proxy/firewall sloja.

  • 🟡 Tailscale status nije verificiran jer CLI nije instaliran/dostupantailscale: command not found, pa trenutni tailnet posture nije bilo moguće potvrditi. Budući da DECISIONS.md sadrži aktivan tailscale/api-key, ovo je verification gap, ne dokaz kvara. Preporuka: potvrditi gdje se Tailscale zapravo vrti (Windows host vs WSL) i dodati kanonski check lane za audit.

  • 🟡 Permission stanje je djelomično bolje, ali nije potpuno čisto.openclaw/, openclaw.json i .env su dobro zaključani (700/600/600), restart-*.log je sada 600, a n8n-backups koje su prije bile 664 sada su 600. Međutim, ~/.openclaw/logs/openclaw.log je 644, a commands.log ostaje 664, što i dalje ostavlja lokalno-readable command trag. Preporuka: uskladiti sve logove na 600 ili jasno dokumentirati zašto neki ostaju širi.

  • 🟡 Cred store coverage izgleda dobro, ali audit je samo prisutnost, ne valjanostcred --list vraća 22 credential entryja, uključivo tailscale/api-key, github/pat, hostinger/ssh, n8n/api-key, telegram/dnevnik-bot. To je bolji coverage nego u T4 auditu 2026-03-29, ali bez read/validate koraka ne znamo jesu li svi još ispravni. Preporuka: zadržati odvojeno “presence audit” i povremeni controlled validation audit.

  • 🟡 Gateway i portal su živi, ali journald pokazuje operativne warninge — u zadnjih 7 dana vide se ponavljani exec warningi o unprofiled safeBins, cron payload.model 'codex/gpt-5.4' not allowed, falling back to agent defaults i barem jedan stuck session dijagnostički zapis. Nije sigurnosni incident, ali je signal config discipline i runtime hygiene problema. Preporuka: srediti allowlist/profile konfiguraciju i model payload drift prije nego warningi maskiraju stvarne incidente.

  • 🟢 Kapacitet hosta nije trenutni infrastrukturni bottleneck — disk je ~8% iskorišten (76G / 1007G), RAM trenutno ~1.8 GiB / 7.7 GiB uz ~5.9 GiB available, swap nije pod pritiskom. Preporuka: nema hitne infra akcije; fokus ostaje na exposure i config hardeningu.

  • 🟢 OpenClaw verzija je ažurnaopenclaw update status prijavljuje stable kanal i npm latest 2026.4.24, bez dostupnog updatea. To je poboljšanje naspram T4 audita 2026-03-29 kad je instanca kasnila jednu verziju.

Trend vs Prethodni Audit

  • Poboljšanje — file-permission higijena je bolja nego 2026-03-29: restart-*.log i n8n-backups više nisu otvoreni kao prije, a OpenClaw više ne kasni za latest verzijom.
  • Pogoršanje / reframing — fokus rizika se pomaknuo s pojedinačnih permission grešaka na ozbiljniji arhitekturni exposure: open Telegram group + full exec + elevated/runtime/fs alati bez sandboxa.
  • Bez jasnog dokaza promjene — Tailscale posture nije bilo moguće potvrditi u ovom laneu, pa taj dio trenda ostaje otvoren.
  • Novi operativni signal — journald sada jasno pokazuje config/runtime warninge (payload.model not allowed, unprofiled safeBins, stuck session) koji nisu bili istaknuti u prethodnom T4 auditu.

Top 3 Preporuke

  1. Smanjiti attack surface na Telegram/OpenClaw granici — zatvoriti groupPolicy, maknuti security=full s javno dohvatljivih agenata i uključiti sandbox/workspace-only gdje god može.
  2. Ručno pregledati i izolirati označene skillovelast30days i reddit-readonly tretirati kao supply-chain risk dok ne prođu source review.
  3. Očistiti log/config warninge prije nego postanu normalizirani šum — riješiti payload.model not allowed, unprofiled safeBins i standardizirati log permissions (openclaw.log, commands.log).