OpenLegion vs nanobot: чему уязвимость CVSS 10.0 учит о безопасности агентов
nanobot, вероятно, самый поучительный case study в пространстве безопасности AI-агентов. Создан академической research-лабораторией в начале 2026, он сводит 430,000+ строк OpenClaw к примерно 4,000 строкам Python — 99% сокращение кода, заработавшее 218 баллов на Hacker News (самый сильный приём среди альтернатив Claw) и примерно 20,000–26,000 GitHub-звёзд.
Затем в течение недель после запуска security-исследователи раскрыли критическую уязвимость (CVSS 10.0): WhatsApp-мост nanobot привязывал свой WebSocket-сервер к 0.0.0.0:3001 без какой-либо аутентификации. Любой в сети мог hijack WhatsApp-сессии. Последовали дополнительные критические уязвимости — shell command injection, обход path traversal и уязвимость удалённого исполнения кода, унаследованная от LiteLLM-зависимости.
nanobot — обучающий инструмент с благими намерениями, случайно ставший case study того, почему лёгкий код сам по себе не равен безопасному коду. OpenLegion существует, чтобы сделать этот урок структурным.
OpenLegion — security-first AI-агентный фреймворк с обязательной изоляцией Docker-контейнеров, vault-прокси управлением учётными данными, принуждением бюджета на агента и координацией по модели флота (blackboard + pub/sub + handoff).
В чём разница между OpenLegion и nanobot?
nanobot — Python-реализация OpenClaw на ~4,000 строк, сфокусированная на образовательной простоте и читаемости. Поддерживает 11+ LLM-провайдеров и 8+ каналов сообщений, но пострадал от критической уязвимости WhatsApp-моста (CVSS 10.0, неаутентифицированный hijack WhatsApp-сессий), shell injection, path traversal и LiteLLM RCE-уязвимостей. OpenLegion — security-first Python-фреймворк с обязательной изоляцией Docker-контейнеров на агента, vault-прокси управлением учётными данными, где агенты никогда не видят API-ключи, принуждением бюджета на агента и координацией по модели флота (blackboard + pub/sub + handoff). nanobot оптимизирует обучение и простоту; OpenLegion оптимизирует production-безопасность.
Кратко
| Измерение | OpenLegion | nanobot |
|---|---|---|
| Основной фокус | Production-инфраструктура безопасности | Образовательная простота |
| Язык | Python | Python (~4,000 строк) |
| Изоляция агентов | Docker-контейнер на агента, non-root | Флаг restrict_to_workspace (application-level) |
| Безопасность учётных данных | Vault-прокси — агенты никогда не видят ключи | Конфиг-файл (~/.nanobot/config.json) |
| Бюджетный контроль | Жёсткий cutoff ежедневно/месячно на агента | Не встроен |
| Оркестрация | Координация по модели флота (blackboard + pub/sub + handoff) | Одиночный агент с background sub-агентами |
| LLM-провайдеры | 100+ через LiteLLM | 11+ (OpenRouter, Anthropic, OpenAI, DeepSeek и т.д.) |
| Каналы сообщений | 5 | 8+ (Telegram, Discord, WhatsApp, Feishu, DingTalk и т.д.) |
| Мульти-агент | Шаблоны флота с ACL на агента | Спавн sub-агентов (без оркестрации флота) |
| Память | Устойчивая на агента с векторным поиском | Grep-based извлечение (намеренно избегает RAG) |
| GitHub-звёзды | ~59 | ~20,000–26,000 |
| Лицензия | PolyForm Perimeter License 1.0.1 | MIT |
| Известные CVE | 0 | критическая уязвимость WhatsApp-моста (CVSS 10.0) + 3 дополнительных критических патча |
| Происхождение | Независимый | Академическая research-лаборатория |
Выбирайте nanobot, если...
Вы хотите узнать, как работают AI-агенты. nanobot — обучающий скелет. На 4,000 строках с ясной структурой это лучшая кодовая база для понимания core-петли агента: provider abstraction, tool dispatch, memory retrieval и chat gateways. DataCamp опубликовал полный туториал. Создатели явно спроектировали его для образовательной читаемости.
Вам нужна поддержка азиатских мессенджер-платформ. У nanobot first-class поддержка Feishu (Lark), DingTalk, QQ и WeChat-смежных платформ — каналов, которые ни один западно-ориентированный фреймворк не покрывает хорошо. Если ваше развёртывание нацелено на китайский корпоративный мессенджинг, экосистема nanobot уникально позиционирована.
Вы хотите запускать агентов на Raspberry Pi. nanobot достаточно лёгкий для одноплатных компьютеров. В сочетании с Ollama для локального inference вы получаете полностью offline работу агентов.
Вы цените простоту над инфраструктурой. JSON-конфиг, grep-based память (не требуется vector DB) и pip install. Без Docker, без координации по модели флота, без настройки vault. От install до работающего агента менее чем за пять минут.
Импульс сообщества важен. 218-point HN-запуск nanobot, активный Discord, DataCamp-интеграция и ~20,000+ звёзд представляют значительные инвестиции сообщества и большой пул контрибьюторов, быстро исправляющих проблемы (CVSS 10.0 запатчен за дни).
Выбирайте OpenLegion, если...
Безопасность должна быть архитектурной, не опциональной. Флаг restrict_to_workspace nanobot — основной механизм изоляции — boolean, который можно отключить. Его API-ключи живут в plaintext JSON-конфиг-файле. Его WebSocket-сервер поставлен без аутентификации. Это не неясные edge cases; это фундаментальные архитектурные решения, давшие CVSS 10.0 в течение недель. OpenLegion делает insecure-конфигурации структурно невозможными: изоляция контейнеров обязательна, vault-прокси — единственный credential-путь, а координация по модели флота ограничена детекцией tool-loop на агента.
Вы не можете позволить себе CVSS 10.0 в production. Критическая уязвимость WhatsApp-моста позволяла неаутентифицированным network-adjacent атакующим hijack WhatsApp-сессий, подключаясь к незащищённому WebSocket-серверу nanobot на порту 3001. Дополнительные уязвимости shell injection и path traversal были найдены одним security-исследователем в одном аудите. Архитектура vault-прокси OpenLegion означает, что нет учётных данных для hijack — агенты вызывают через прокси, внедряющий ключи на сетевом уровне.
Вам нужен бюджетный контроль на агента. nanobot не имеет принуждения бюджета. С поддержкой 11+ провайдеров и возможностью спавна background sub-агентов неконтролируемые API-расходы накапливаются тихо. OpenLegion применяет ежедневные и месячные лимиты на агента с автоматическим жёстким cutoff.
Вам нужна аудитируемая мульти-агентная координация флота. nanobot поддерживает спавн sub-агентов, но оркестрация LLM-driven и недетерминирована. Координация по модели флота OpenLegion определяет явные handoff-записи, доступ к инструментам и зависимости на агента — аудитируема до развёртывания.
Вам нужно доказать security-постуру стейкхолдерам. CVE-история nanobot делает его сложной продажей для security-команд, комплаенс-ревьюверов или корпоративных закупок. Архитектура vault-прокси, обязательная изоляция контейнеров и ACL на агента OpenLegion обеспечивают demonstrable security-контроли.
Сравнение модели безопасности
Где живут секреты
nanobot хранит API-ключи в ~/.nanobot/config.json — plaintext JSON-файле на диске. Файл конфига изначально записывался с правами 0644 (world-readable); это позже запатчено на 0600. В runtime ключи загружаются в память Python-процесса. Любой код, исполняющийся внутри процесса агента, может их прочитать.
OpenLegion хранит учётные данные в vault, к которому агенты не могут обращаться. API-вызовы маршрутизируются через vault-прокси, внедряющий учётные данные на сетевом уровне. Никаких конфиг-файлов с plaintext-ключами, никаких переменных окружения с секретами, никаких смонтированных credential-файлов. Процесс агента никогда не держит API-ключи.
Модель изоляции
nanobot использует флаг restrict_to_workspace, ограничивающий файловые операции директорией workspace. Это application-level проверка в Python-коде — если агент достигнет произвольного исполнения кода (что продемонстрировала уязвимость shell injection как возможное), workspace-ограничение можно обойти. Никакая OS-level изоляция не применяется.
OpenLegion использует изоляцию Docker-контейнеров на агента. Каждый агент работает в отдельном контейнере с non-root исполнением, без доступа к Docker-сокету, no-new-privileges и лимитами ресурсов на контейнер. Даже если агент достигнет произвольного исполнения кода внутри контейнера, он не может обращаться к другим агентам, хост-системе или хранилищам учётных данных.
CVE-рекорд
nanobot накопил значительные security-проблемы за своё краткое существование:
- Критическая уязвимость WhatsApp-моста (CVSS 10.0): WhatsApp WebSocket-мост привязан к 0.0.0.0:3001 без аутентификации. Network-adjacent атакующие могли hijack сессии. Обнаружено security-исследователями.
- Shell command injection (Medium): несанитизированный пользовательский ввод, передаваемый в shell-исполнение.
- Обход path traversal (Medium):
restrict_to_workspaceмог быть обойдён. - LiteLLM RCE через
eval()(Critical): унаследовано от зависимости. Удалённое исполнение кода через crafted ввод. - Session poisoning (запатчено 26 февраля 2026): манипуляция историей сообщений.
OpenLegion не имеет CVE, сообщённых на момент v0.1.0. Его архитектура делает несколько классов уязвимостей nanobot структурно невозможными: vault-прокси устраняет раскрытие учётных данных, Docker-изоляция предотвращает побеги path traversal, и координация по модели флота предотвращает произвольное shell-исполнение без явных tool-grant.
Бюджетный контроль
nanobot не имеет встроенных лимитов расходов. Background sub-агенты могут делать API-вызовы без cap.
OpenLegion применяет ежедневные и месячные лимиты на агента с автоматическим жёстким cutoff.
Экосистема nanobot: что у него получается лучше всего
Обучающий скелет
Самый большой вклад nanobot — образовательный. Core-петля агента — получение сообщения, извлечение контекста, вызов LLM, dispatch инструментов, возврат ответа — выложена голой в чистом, читаемом Python. Намеренный выбор использовать grep-based извлечение памяти вместо RAG делает механизм извлечения прозрачным. JSON-конфиг human-readable. Каждое архитектурное решение приоритизирует понимание над sophistication.
Для студентов, исследователей и разработчиков, изучающих внутренности AI-агентов, nanobot, возможно, лучшая стартовая точка.
Интеграция азиатских платформ
Поддержка каналов nanobot включает Feishu (Lark), DingTalk, QQ и Matrix — платформы, доминирующие в китайской корпоративной коммуникации. Ни один другой фреймворк в экосистеме OpenClaw не обеспечивает сравнимое покрытие. Академическое происхождение проекта, вероятно, объясняет этот фокус, и это представляет настоящую ценность для команд, работающих в азиатских рынках.
Совместимость со skills ClawHub
nanobot интегрируется с экосистемой skills ClawHub, давая ему доступ к community-contributed агентным skills. Формат документации SKILL.md общий между nanobot, PicoClaw и другими проектами семейства Claw.
Культура быстрого реагирования
Когда была раскрыта критическая уязвимость WhatsApp-моста, команда nanobot запатчила её за дни. Исправление session poisoning приземлилось 26 февраля. Shell injection и path traversal были адресованы быстро. Отзывчивость сообщества действительно впечатляет — но это также подчёркивает, что проблемы не должны были поставляться в первую очередь.
Распространённые production-подводные камни
Фундаментальная проблема архитектурная. nanobot был спроектирован как обучающий инструмент, ставший production-популярным. Его модель безопасности — application-level workspace-ограничение, plaintext конфиг, никакой сетевой изоляции — подходит для локальных экспериментов, но опасна в production. CVSS 10.0 не был багом в сложном коде; это был WebSocket-сервер без аутентификации. Это вид недосмотра, который предотвращают архитектурные security-ограничения.
Риск цепочки зависимостей. LiteLLM RCE (через eval()) демонстрирует, что даже минимальные кодовые базы наследуют уязвимости от своих зависимостей. ~4,000 строк nanobot аудируемы, но полное дерево зависимостей — нет.
Нет модели сетевой безопасности. nanobot не имеет концепции network policies, ingress controls или service mesh isolation. Агенты могут делать произвольные исходящие соединения. В сочетании с shell-доступом это создаёт широкую поверхность атаки.
Что OpenLegion покрывает иначе
Архитектура OpenLegion предотвращает классы уязвимостей nanobot по дизайну:
- Критическая уязвимость WhatsApp-моста (неаутентифицированный сетевой сервис): агенты OpenLegion работают в Docker-контейнерах без exposed-портов по умолчанию. Сетевой доступ явно гранится на агента.
- Shell injection: координация по модели флота OpenLegion требует явных tool-grant. Shell-доступ недоступен, если не специально включён в ACL агента.
- Path traversal: изоляция Docker-контейнеров с read-only mounts и без Docker-сокета устраняет path traversal как meaningful вектор атаки.
- Раскрытие учётных данных: vault-прокси означает, что нет учётных данных в окружении агента, чтобы их украсть.
- Dependency RCE: изоляция контейнеров ограничивает зону поражения — даже если у зависимости есть RCE, атакующий contained в sandboxed-контейнере без учётных данных.
Trade-offs хостинга vs Self-Host
nanobot спроектирован для локального self-hosting. pip install, JSON-конфиг, и работающий агент за минуты. Hosted-сервиса не существует. Лёгкая природа означает, что любая Linux-система, macOS или даже Raspberry Pi может его хостить.
OpenLegion требует Python, SQLite и Docker. Hosted-платформа (скоро) предложит per-user VPS-инстансы за $19/месяц. Требование Docker добавляет инфраструктурный overhead, но обеспечивает слой изоляции, делающий production-развёртывание безопасным.
Для кого
nanobot — для студентов, исследователей и индивидуальных разработчиков, желающих понять архитектуру AI-агента через чистую, читаемую кодовую базу. Также ценен для команд, нацеленных на азиатские мессенджер-платформы (Feishu, DingTalk, QQ). Идеальный пользователь запускает nanobot локально для личных задач и не выставляет его в недоверенные сети.
OpenLegion — для инженерных команд, разворачивающих агентов в средах, где security-инциденты имеют бизнес-последствия. Идеальный пользователь должен демонстрировать изоляцию учётных данных, контроль расходов и аудит-следы стейкхолдерам — и не может рисковать CVSS 10.0 в production.
Честный trade-off
nanobot доказывает, что вы можете перестроить AI-agent runtime в 4,000 строках. Это достижение реально и ценно для экосистемы. Но критическая уязвимость WhatsApp-моста доказывает, что простота и безопасность не одно и то же. 4,000-строчная кодовая база с CVSS 10.0 менее безопасна, чем ~77,000-строчная кодовая база с архитектурными ограничениями, делающими этот класс уязвимостей невозможным.
Если хотите узнать, как работают агенты, прочитайте источник nanobot. Если хотите развернуть агентов безопасно, используйте фреймворк, где небезопасные конфигурации не могут возникнуть.
Для полного ландшафта см. наше сравнение AI-агентных фреймворков.
Разворачивайте агентов с безопасностью, которая архитектурна, а не аспирационна.
Часто задаваемые вопросы
Что такое nanobot?
nanobot — Python-реализация OpenClaw на ~4,000 строк, созданная академической research-лабораторией. Поддерживает 11+ LLM-провайдеров и 8+ каналов сообщений (включая азиатские платформы вроде Feishu, DingTalk и QQ). Запущен 2 февраля 2026 и имеет примерно 20,000–26,000 GitHub-звёзд. Получил самый сильный приём на Hacker News среди альтернатив OpenClaw (218 баллов, 111 комментариев).
OpenLegion vs nanobot: в чём разница?
nanobot — образовательный обучающий скелет, минимальный, читаемый и спроектированный для обучения. OpenLegion — production security-фреймворк. nanobot использует application-level workspace-ограничение и plaintext JSON-конфиг; OpenLegion использует изоляцию Docker-контейнеров и vault-прокси учётные данные. nanobot пострадал от критической уязвимости WhatsApp-моста (CVSS 10.0) плюс трёх дополнительных критических уязвимостей; OpenLegion не имеет CVE на момент v0.1.0 и архитектуру, делающую эти классы уязвимостей структурно невозможными.
Является ли OpenLegion альтернативой nanobot?
Да. Оба — Python-based AI-агентные фреймворки, но они служат разным целям. nanobot лучше для обучения и локальных экспериментов. OpenLegion — альтернатива для команд, нуждающихся в production-grade безопасности — изоляция учётных данных через vault-прокси, принуждение бюджета на агента, изоляция Docker-контейнеров и координация по модели флота (blackboard + pub/sub + handoff).
Как сравнивается обработка учётных данных между OpenLegion и nanobot?
nanobot хранит API-ключи в ~/.nanobot/config.json (изначально world-readable, пока не запатчено). Ключи загружаются в память Python-процесса в runtime. OpenLegion использует vault-прокси — агенты делают API-вызовы через прокси, внедряющий учётные данные на сетевом уровне. Агенты никогда не держат, не читают и не имеют доступа к API-ключам в любой форме.
Что лучше для production AI-агентов?
OpenLegion значительно лучше подходит для production. nanobot был спроектирован как обучающий инструмент и накопил критическую уязвимость WhatsApp-моста (CVSS 10.0), shell injection, path traversal и dependency RCE-уязвимости в течение недель после запуска. Обязательная изоляция контейнеров, vault-прокси учётные данные, бюджеты на агента и аудитируемая координация по модели флота OpenLegion адресуют именно те классы уязвимостей, которые затронули nanobot.
nanobot — это то же самое, что nanobot (Obot AI)?
Нет. Существует два совершенно разных проекта с одинаковым именем. nanobot, обсуждаемый на этой странице, — Python-альтернатива OpenClaw на ~4,000 строк от академической research-лаборатории. nanobot от Obot AI — Go-based MCP агентная платформа, поддержанная $35M seed-финансированием от команды Rancher Labs. Эта страница сравнивает OpenLegion с Python-альтернативой OpenClaw.
Что было критической уязвимостью WhatsApp-моста nanobot?
WhatsApp-мост nanobot содержал критическую уязвимость (CVSS 10.0), где WebSocket-сервер привязывался к 0.0.0.0:3001 без какой-либо аутентификации. Любой network-adjacent атакующий мог подключиться и hijack активные WhatsApp-сессии. Это было быстро запатчено, но демонстрирует риск развёртывания агентных фреймворков без архитектурной сетевой изоляции.
Могу ли я мигрировать с nanobot на OpenLegion?
JSON-конфиг nanobot и настройка агентов были бы реструктурированы как координация по модели флота с явными tool-grant, лимитами бюджета и ACL на агента. Настройки LLM-провайдера переносятся напрямую, поскольку оба используют LiteLLM-совместимые конфигурации провайдеров. См. нашу страницу AI-агентной оркестрации.
Связанные сравнения
| Анкорный текст | Назначение |
|---|---|
| OpenLegion vs NanoClaw | /comparison/nanoclaw |
| OpenLegion vs PicoClaw | /comparison/picoclaw |
| OpenLegion vs ZeroClaw | /comparison/zeroclaw |
| OpenLegion vs OpenClaw | /comparison/openclaw |
| Сравнение AI-агентных фреймворков 2026 | /learn/ai-agent-frameworks |
| Анализ AI-безопасности агентов | /learn/ai-agent-security |