L'architecture Zero-Trust OpenClaw intègre une autorisation pré-exécution et une vérification post-exécution.

Une architecture de sécurité open source pour OpenClaw aborde le problème des agents ayant des permissions système ambiantes sans vérification fiable de leurs actions. La solution implémente deux points de contrôle stricts dans la boucle d'exécution.
Porte de Pré-Exécution
Un démon Rust local appelé predicate-authorityd intercepte chaque appel d'outil avant exécution et le vérifie par rapport à une politique déclarative. Cela fournit une surcharge d'autorisation inférieure à la milliseconde avec un p99 <25ms. Le système est en mode échec-fermé : si le sidecar est hors service, tout est refusé. Par exemple, si un agent tente d'écrire dans /etc/passwd, il est bloqué de manière stricte et le système d'exploitation hôte n'est jamais touché.
Vérification Post-Exécution
Au lieu de demander à un LLM « est-ce que cela a fonctionné ? » après les actions du navigateur, le système exécute des assertions déterministes comme :
url_contains("news.ycombinator.com")→ PASSelement_exists("titleline")→ PASSdom_contains("Show")→ PASS
Le modèle .eventually() gère l'hydratation des SPA sans appels fragiles de sleep().
Tracé et Économie de Tokens
Chaque étape — décisions d'autorisation, instantanés DOM, résultats de vérification — est envoyée vers une trace (locale ou cloud). Vous pouvez rejouer l'état exact de l'agent étape par étape dans un portail web, utile pour déboguer des assertions échouées ou auditer ce que l'agent a réellement vu (captures d'écran incluses).
La compétence predicate-snapshot compresse le DOM pour ne garder que les éléments actionnables, réalisant une économie de tokens de 90 à 99 %. Dans une démo d'extraction de posts Hacker News, elle a utilisé ~1200 tokens par étape au lieu de 50k+ pour le HTML brut.
Cas d'Utilisation et Développement Futur
Cette architecture est prête pour la production pour des tâches comme la surveillance des prix sur des sites e-commerce (Amazon, eBay), le suivi des concurrents, la génération de leads à partir d'annuaires, ou tout scraping web où vous avez besoin de garanties que l'agent a bien extrait les bonnes données.
La porte de pré-exécution fonctionne déjà pour tout agent (ce ne sont que des appels HTTP au sidecar). Le développement futur inclut l'extension de la vérification post-exécution aux agents non-web — assertions d'état du système de fichiers, validation de réponses API, vérifications de base de données — en utilisant la même approche déterministe sans LLM-comme-juge.
Dépôts
- Plugin de sécurité OpenClaw : https://github.com/PredicateSystems/predicate-claw (avec démo GIF)
- Compétence Snapshot OpenClaw : https://github.com/PredicateSystems/openclaw-predicate-skill
📖 Lire la source complète : r/clawdbot
👀 See Also

ThornGuard : Une passerelle proxy pour sécuriser les connexions aux serveurs MCP contre les injections de prompt
ThornGuard est un proxy qui s'interpose entre les clients MCP et les serveurs en amont, analysant le trafic à la recherche de modèles d'injection, supprimant les données personnelles identifiables (PII) et enregistrant les événements dans un tableau de bord. Il a été développé après que des tests aient révélé des vulnérabilités où les serveurs pouvaient intégrer des instructions cachées dans les réponses des outils.

Correction architecturale pour la sur-centralisation des agents IA : séparation de la mémoire, de l'exécution et des actions sortantes
Un développeur a réalisé que son assistant IA devenait un 'autocrate interne' en gérant la mémoire à long terme, l'accès aux outils et les décisions autonomes dans un seul composant. La solution a consisté à séparer le système en trois rôles : contrôleur privé, travailleurs à portée limitée et porte de sortie.

Sécurité OpenClaw : 13 étapes pratiques pour sécuriser votre agent IA
Un post Reddit détaille 13 mesures de sécurité pour les installations OpenClaw, notamment l'exécution sur une machine séparée, l'utilisation de Tailscale pour l'isolation réseau, le confinement des sous-agents dans Docker et la configuration de listes d'autorisation pour l'accès des utilisateurs.

Rapport indépendant sur la fiabilité du serveur MCP et les conclusions en matière de sécurité
Une analyse indépendante de 2 181 points de terminaison de serveurs MCP révèle que 52 % sont inactifs, 300 n'ont aucune authentification et 51 % ont des configurations CORS largement ouvertes. Le rapport inclut la méthodologie et un outil de test.