SandyClaw следи какво правят инструментите за AI агенти зад кулисите

7 април, 2026

No Comments

Новата платформа е насочена към security екипи, които искат да засичат злонамерено поведение, скрито в downloadable skill-ове за AI агенти, като ги „детонират“ в sandbox среда, вместо само да сканират кода им.

Permiso обяви SandyClaw и я описва като първата платформа, която прилага dynamic sandbox detonation към AI agent skills и prompts.

Нов слой за сигурност в икономиката на AI агентите

С пускането на SandyClaw Permiso се цели в проблем, който започва да става все по-видим: skill-овете и plugin-ите за AI агенти често наследяват вече наличните IAM роли, API token-и и service връзки на самия агент. Това означава, че злонамерен skill не е задължително да краде идентификационни данни или да пробива система отвън — може просто да използва ключовете, които вече са му подадени през средата. Именно затова компанията описва marketplace-ите за agent skills като нова версия на software supply chain риска.

Защо това има значение за потребителите

Ползата за клиентите е доста практична. Вместо security екипите да гадаят по кода какво може да направи даден skill, SandyClaw е създадена да покаже какво реално прави той при изпълнение. Според Permiso платформата наблюдава поведение, а не само намерение, и така може да засече skill-ове, които на пръв поглед изглеждат безобидни, но при работа правят неоторизирани network заявки, четат environment variables или изнасят данни.

Разликата спрямо конкурентите е в наблюдението, а не в предположенията

Критиката на Permiso към пазара е, че повечето налични инструменти за проверка на agent skills всъщност не стартират skill-а, който оценяват. По думите на компанията днешните подходи обикновено се делят на static code analysis и LLM-based оценка. И в двата случая се прави опит да се извлече намерение от кода, вместо да се наблюдава реалното поведение. SandyClaw се позиционира точно срещу това: не предполага какво би могло да стане, а стартира skill-а в контролирана среда и записва какво действително се случва.

Как работи SandyClaw

Процесът е описан в четири стъпки: submit, detonate, analyze и decide. Потребителят качва skill от поддържани среди като OpenClaw, Cursor и Codex, избира модел и подава тестов prompt. След това платформата стартира skill-а в instrumented sandbox с live agent, записва активността както на ниво LLM, така и на ниво operating system, и връща verdict, подкрепен от поведенчески лог, а не просто от вероятностна оценка. Permiso казва, че системата улавя LLM решения, outbound network calls, domain resolution, file reads и writes, environment variable access, credential access attempts и други събития на системно ниво.

По-силен инструмент за security екипите

Това е важно за security екипите, защото платформата е създадена да връща проверима следа, а не непрозрачен етикет. Permiso казва, че SandyClaw използва няколко detection engine-а, включително Sigma, YARA, Nova и Snort, както и собствени правила на компанията. Вместо да дава само „безопасно“ или „опасно“, услугата предоставя пълния поведенчески запис, така че екипите сами да видят какво точно е направил skill-ът и защо е бил маркиран.

Наблюдавано поведение вместо предполагаемо намерение

Точно това Permiso представя като основното разграничение. Компанията твърди, че static scanner-ите могат да бъдат заобикаляни чрез обфускация, а LLM-based оценителите добавят втори проблем: същият тип модел, който може да бъде манипулиран чрез prompt injection, се използва като съдник дали един skill е безопасен. Отговорът на SandyClaw е да измести решението от inference към observation — да стартира skill-а и да запише реалното му поведение в контролирана среда.

Допълнителна видимост, която не всички предлагат

Permiso се опитва да отличи SandyClaw и по дълбочината на инспекцията. Компанията казва, че платформата прави SSL interception вътре в sandbox-а, което ѝ позволява да дешифрира и проверява криптиран outbound трафик. Така skill, който се опитва да изнесе откраднати идентификационни данни или чувствителна информация през HTTPS, може също да бъде засечен. Permiso допълва, че SandyClaw поддържа searchable intelligence repository с вече анализирани skill-ове, така че продуктът да служи и като референтен слой за по-широката екосистема, а не само като еднократен scanner.

Създаден за agentic workflows, а не само за ръчна проверка

Другият важен ъгъл е автоматизацията. Permiso посочва, че самите агенти могат да бъдат конфигурирани да изпращат skill-ове към SandyClaw за валидация преди инсталация, което на практика превръща продукта в автоматизиран security gate вътре в agentic workflow. Компанията казва, че един Fortune 500 клиент вече прекарва целия си вътрешен skill registry през SandyClaw по този начин. Това позиционира продукта не просто като forensic инструмент за анализатори, а като инфраструктурен слой в модерни AI deployment pipeline-и.

По-големият аргумент на компанията

Permiso очевидно залага, че skill-овете за AI агенти ще се превърнат в нова голяма повърхност за атака и че традиционното сканиране на код няма да е достатъчно. В съобщението си компанията твърди, че „AI agent skill marketplaces are the new software supply chain“ и посочва, че вече са се появили злонамерени skill-ове, маскирани като легитимни инструменти, включително credential stealer-и, reverse shells и routines за exfiltration на данни.

Контекст за този аргумент има и извън самата компания. Изследване на Koi Security, цитирано от външни публикации, твърди, че при одит на ClawHub са открити 341 злонамерени skill-а сред 2857 анализирани записа, което подсказва, че проблемът не е теоретичен.

По-голямата картинка

По-важният извод е, че Permiso се опитва да отвори категория около runtime сигурността за agent skills, а не просто около „AI сигурност“ като общ етикет. С разширяването на автономните агенти за компаниите въпросът няма да е само какво могат да правят тези агенти, а и какви външни skill-ове им е позволено да изпълняват от името на организацията. SandyClaw се позиционира с прост аргумент: security екипите не бива да разчитат само на външния вид на source кода или на преценката на модела, когато могат директно да наблюдават поведението. Това е силно послание в пазар, в който agent екосистемите растат по-бързо от механизмите за контрол около тях.

agent skills, agentic workflows, AI инфраструктура, AI-агенти, Codex, credential stealers, Cursor, dynamic sandbox detonation, LLM-based evaluation, Nova, OpenClaw, Permiso, reverse shells, runtime сигурност, sandbox, SandyClaw, security екипи, Sigma, skill-ове за AI агенти, Snort, software supply chain, SSL interception, static code analysis, YARA, зловредни skill-ове, изнасяне на данни, киберсигурност