Clawndom: Un Gancho de Seguridad para el Código de Claude que Bloquea Paquetes npm Vulnerables
Un desarrollador ha lanzado Clawndom, una herramienta de seguridad de código abierto para Claude Code que aborda las preocupaciones sobre los agentes de IA que instalan paquetes npm vulnerables. La herramienta fue creada en respuesta a incidentes de seguridad como el ataque axios, que destacó riesgos que incluyen la instalación de malware, el uso no autorizado de claves API, el envío de código comprometido y daños a la reputación.
Cómo funciona Clawndom
Clawndom implementa un gancho en Claude Code que se conecta a OSV.dev, una base de datos de vulnerabilidades de código abierto respaldada por Google. Cuando un agente intenta instalar un paquete, el gancho verifica automáticamente contra la base de datos de OSV. Los paquetes limpios pasan silenciosamente, mientras que los paquetes vulnerables activan una alerta donde se le informa al agente por qué el paquete es inseguro y se le solicita que seleccione una versión más segura.
Detalles clave de implementación
- El gancho se ejecuta en el servidor contra OSV.dev, evitando que los agentes "alucinen" para pasar por alto las vulnerabilidades
- Los costos de tokens son insignificantes ya que se ejecuta como un gancho en lugar de una llamada a herramienta
- El enfoque bloquea miles de paquetes maliciosos conocidos en npm, aunque no detectará ataques de día cero
- Mantiene la autonomía del agente sin requerir que los desarrolladores supervisen cada instalación o desactiven funciones que omiten permisos
Contexto de fondo
El desarrollador señala que npm rara vez elimina paquetes con vulnerabilidades conocidas, dejándolos instalables a pesar de los problemas de seguridad. Esto crea riesgos particulares con los agentes de IA que podrían instalar paquetes sin la debida verificación. La herramienta aborda la tensión entre las preocupaciones de seguridad y el mantenimiento de la funcionalidad autónoma que hace valiosos a los agentes.
Disponibilidad
El código completo está disponible en GitHub en https://github.com/reid1b/Clawndom. Los desarrolladores pueden copiar la implementación directamente o pedir a sus agentes que la examinen e implementen.
📖 Read the full source: r/ClaudeAI
👀 Ver también
Analizador de Habilidades Ahora Disponible en ClawHub con Instalación de un Solo Comando
El analizador de seguridad OpenClaw Skill Analyzer ya está disponible en ClawHub con una instalación de un solo comando. La herramienta escanea carpetas de habilidades en busca de patrones maliciosos como inyección de comandos y robo de credenciales, e incluye soporte de entorno aislado Docker para una ejecución segura.
Flujo de Aprobación de Administrador Seguro para Asistentes de Chat Grupal contra Inyección de Mensajes
Un enfoque práctico para proteger asistentes LLM en chats grupales compartidos: pausar herramientas de VM, OAuth y ejecución de código hasta que un administrador apruebe mediante un enlace con tiempo de vida de 10 minutos.
Claude Code CVE-2026-39861: Escape de la caja de arena mediante seguimiento de enlaces simbólicos
Una vulnerabilidad de alta gravedad en la zona de pruebas de Claude Code permite la escritura arbitraria de archivos fuera del espacio de trabajo mediante el seguimiento de enlaces simbólicos, lo que podría llevar a la ejecución de código.
Posible Incidente de Seguridad de Claude: Alertas de Contraseñas Autoeviadas y Proceso .NET Sospechoso
Un usuario informa haber recibido alertas sospechosas de restablecimiento de contraseña que parecían enviarse desde su propia cuenta después de iniciar sesión en Claude, con correos electrónicos que desaparecieron minutos después y un proceso inusual de .NET que bloqueó el apagado del sistema.