Clawndom : Un crochet de sécurité pour Claude Code pour bloquer les paquets npm vulnérables

Un développeur a publié Clawndom, un outil de sécurité open-source pour Claude Code qui répond aux préoccupations concernant l'installation de packages npm vulnérables par les agents d'IA. L'outil a été créé en réponse à des incidents de sécurité comme l'attaque axios, qui a mis en lumière des risques incluant l'installation de logiciels malveillants, l'utilisation non autorisée de clés API, l'envoi de code compromis et des dommages à la réputation.
Fonctionnement de Clawndom
Clawndom implémente un crochet dans Claude Code qui se connecte à OSV.dev, une base de données de vulnérabilités open-source soutenue par Google. Lorsqu'un agent tente d'installer un package, le crochet vérifie automatiquement celui-ci dans la base de données d'OSV. Les packages sains passent silencieusement, tandis que les packages vulnérables déclenchent une alerte où l'agent est informé des raisons de l'insécurité du package et invité à sélectionner une version plus sûre.
Détails clés de l'implémentation
- Le crochet s'exécute côté serveur contre OSV.dev, empêchant les agents de contourner les vulnérabilités par hallucination
- Les coûts en tokens sont négligeables puisqu'il s'exécute comme un crochet plutôt qu'un appel d'outil
- Cette approche bloque des milliers de packages connus comme dangereux sur npm, bien qu'elle ne puisse pas détecter les attaques zero-day
- Préserve l'autonomie de l'agent sans nécessiter que les développeurs surveillent chaque installation ou désactivent les fonctionnalités de contournement des permissions
Contexte
Le développeur note que npm retire rarement les packages présentant des vulnérabilités connues, les laissant installables malgré les problèmes de sécurité. Cela crée des risques particuliers avec les agents d'IA qui pourraient installer des packages sans vérification appropriée. L'outil aborde la tension entre les préoccupations de sécurité et le maintien de la fonctionnalité autonome qui rend les agents précieux.
Disponibilité
Le code complet est disponible sur GitHub à https://github.com/reid1b/Clawndom. Les développeurs peuvent copier l'implémentation directement ou demander à leurs agents de l'examiner et de la mettre en œuvre.
📖 Read the full source: r/ClaudeAI
👀 See Also

Approche de sécurité OpenClaw utilisant le routeur LLM et le partage privé zrok
Un développeur partage son approche pour exécuter OpenClaw et un routeur LLM dans un environnement VM+Kubernetes avec une seule commande, en abordant les préoccupations de sécurité en injectant les clés API au niveau du routeur et en utilisant zrok pour le partage privé au lieu des jetons traditionnels des applications de messagerie.

Cheval de Troie détecté dans les fichiers skill.md du dépôt Claude Flow.
Un dépôt GitHub contenant des fichiers de compétences Claude Flow a été trouvé contenant un cheval de Troie identifié comme JS/CrypoStealz.AE!MTB. Le malware s'est déclenché automatiquement lorsqu'un IDE basé sur l'IA a ouvert le dossier pour lire les fichiers markdown.

Pourquoi les outils de RAG interne et de chat-document échouent aux audits de sécurité
La communauté discute des obstacles réels en matière de sécurité et de conformité qui empêchent les outils RAG d'atteindre la production.

La fonctionnalité d'utilisation informatique d'Anthropic déclenche un verrouillage de gouvernance lors d'un test réel
Anthropic a déployé des capacités d'utilisation informatique, et lors de la mise en œuvre des contrôles de gouvernance, un seuil de risque a déclenché une posture de VERROUILLAGE qui a bloqué toutes les opérations de mutation, y compris les travaux de gouvernance de l'opérateur lui-même.