CipherClaw: セキュリティペルソナを用いたClaudeによるコード監査

✍️ OpenClawRadar📅 公開日: April 13, 2026🔗 Source
CipherClaw: セキュリティペルソナを用いたClaudeによるコード監査
Ad

CipherClawは、セキュリティに焦点を当てたペルソナをClaude Codeに適用し、コード作成ツールからセキュリティ監査ツールへと変えるツールです。TALONと名付けられたこのペルソナは、CLAUSE.mdファイルを通じて読み込まれ、セキュリティ知識ベースを含んでいます。

仕組み

アーキテクチャは主に3つのコンポーネントで構成されています:

  • SOUL.md: ペルソナのアイデンティティを定義
  • MEMORY.md: OWASP Top 10、CWE Top 25、20以上のシークレットパターンを含むセキュリティ知識を格納
  • 7つのスキルファイル: CLAUSE.md内の@importで読み込み

コマンドと使用方法

TALONは以下のセキュリティ監査コマンドに応答します:

  • TALON: full security audit
  • scan for secrets
  • threat model this
  • compliance check SOC2
  • IaC security review
Ad

発見例

バグの場所について何のヒントも与えずにNext.jsアプリで実行したところ、TALONは以下の17件のセキュリティ問題を特定しました:

  • [重大] 認証不要のエンドポイントが、トークンなしで呼び出し元にpasswordHash + role:ADMINを返す
  • [重大] 所有権チェックが全くないDELETEエンドポイント — 任意のユーザーが他人のデータを削除可能(BOLA/IDOR脆弱性)
  • [重大] ソースコード内のハードコードされた認証トークン
  • [高] ユーザー制御のファイル名を受け入れるファイルアップロード — パストラバーサル脆弱性の可能性
  • [中] 暗号化なしで保存された電話番号(GDPR第32条違反)

各発見には以下が含まれていました:

  • 正確な行番号
  • 脆弱性を再現するcurlエクスプロイトコマンド
  • 具体的な修正方法
  • SOC2、HIPAA、GDPRのためのコンプライアンス制御マッピング

このツールは、コンテキストやツールを切り替えることなく、開発ワークフローにセキュリティ監査を統合したいClaude Codeを使用する開発者向けに設計されています。

📖 Read the full source: r/ClaudeAI

Ad

👀 See Also

Hollow AgentOS: Qwen 3.5 9Bを使ってClaude風エージェントをRTX 5070でローカル実行
Tools

Hollow AgentOS: Qwen 3.5 9Bを使ってClaude風エージェントをRTX 5070でローカル実行

ローカルハードウェア上で動作するQwen 3.5 9Bを使用した自己修正エージェントシステムが、Claude APIコストを50%削減。反復的なテストと自己改善ループにより、人間の介入なしでソフトウェア開発を行う。

OpenClawRadar
Superglue CLI: AIエージェントが事前構築ツールなしでAPIコールを実行可能に
Tools

Superglue CLI: AIエージェントが事前構築ツールなしでAPIコールを実行可能に

Superglue CLIは、AIコーディングエージェントにそのコマンドの使用方法、認証処理、ツール構築、失敗のデバッグ方法を教えるスキルを提供します。すべてのAPI統合に対して事前構築されたツールを作成する代わりに、エージェントは実行時にAPI仕様を読み取り、複数ステップの呼び出しを計画できます。

OpenClawRadar
Baileysを使用したClaudeコード用カスタムWhatsAppチャネルプラグイン
Tools

Baileysを使用したClaudeコード用カスタムWhatsAppチャネルプラグイン

開発者が、Anthropicの公式チャネル機能がメッセージングプラットフォーム統合で残したギャップを埋める、Claude CodeにWhatsApp機能を追加するカスタムチャネルプラグインを作成しました。

OpenClawRadar
無料プラン向けに書き換えられたKarpathyのコーディングスキル、ProなしでClaudeのコーディング規範を解放
Tools

無料プラン向けに書き換えられたKarpathyのコーディングスキル、ProなしでClaudeのコーディング規範を解放

RedditユーザーがKarpathy氏のコーディング規範をClaudeの無料プラン向けに書き換え、ターミナルやサブエージェントの依存関係を除去。システムプロンプトはコーディングリクエストに自動発火し、検証を優先する思考を強制します。

OpenClawRadar