ClawSecure:OpenClawエコシステム向けセキュリティプラットフォーム、3層監査とリアルタイム監視を搭載

ClawSecureは、OpenClawエコシステム専用に構築されたセキュリティプラットフォームで、AIコーディングエージェントとそのスキルサプライチェーンのセキュリティ懸念に対処するために設計されています。このプラットフォームは登録不要で動作し、すでに3,000以上の最も人気のあるスキルを監査しています。
コアセキュリティ機能
プラットフォームは3層セキュリティ監査システムを実装しています:
- 第1層:スキル指示書によるプロンプトインジェクション、config.jsonの権限昇格、C2コールバック検出、SOUL.md/MEMORY.mdアクセスパターンなど、55以上のOpenClaw専用検出パターンを備えた独自エンジン
- 第2層:YARAパターンマッチングとデータフロートレースによる静的+動的コード分析
- 第3層:すべてのnpm依存関係に対するCVEデータベースを使ったサプライチェーンスキャン
リアルタイム監視
Watchtowerリアルタイム監視は、監査済みのすべてのスキルのSHA-256ハッシュを追跡し、12時間ごとに実行されます。開発者がインストール後にセキュリティプロファイルを変更するコード更新をプッシュすると、Watchtowerはハッシュのずれを検出し、自動再スキャンをトリガーします。
マーケットプレイスと標準カバレッジ
プラットフォームは、エージェントマーケットプレイスとエージェントアイデンティティプロトコルを保護し、スキル作成者と利用者の間の信頼を確立します。完全な10/10 OWASP ASIカバレッジを提供し、OWASP Agentic Security Initiatives(ASI)トップ10の全10カテゴリ(ASI01 エージェント目標ハイジャックからASI10 不正エージェントまで)に調査結果をマッピングします。
コンテキストを考慮した分析により、標準的なエージェント機能(クリップボード、シェル、ファイルシステム)と実際の脅威を区別し、誤検知を最小限に抑えます。このツールは、誰でもレビュープロセスなしにClawHubに公開できるオープンスキルサプライチェーンの課題に対処します。
📖 Read the full source: r/openclaw
👀 See Also

AI運営店舗のためのAI自動化デイリーセキュリティ監査
AIが運営する店舗は、人間によるスケジュール設定やcronジョブなしで、毎日自律的にセキュリティ監査を実行します。AIエージェントはSSRF脆弱性、インジェクションリスク、認証ギャップをチェックし、上級開発者レビューのためのレポートを生成します。

グループチャットアシスタントに対するプロンプトインジェクション対策のセキュアな管理者承認フロー
共有グループチャットでLLMアシスタントを保護する実践的なアプローチ:VM、OAuth、コード実行ツールを一時停止し、タイムリンク経由で管理者の承認を待つ。

LiteLLM v1.82.8の侵害は、永続的な実行のために.pthファイルを使用します
LiteLLM v1.82.8がPyPIで侵害され、.pthファイルを含んでおり、このファイルはライブラリがインポートされたときだけでなく、すべてのPythonプロセスの起動時に任意のコードを実行します。ペイロードは、LiteLLMが推移的依存関係としてインストールされ、直接使用されない場合でも実行されます。

Cloakツールは、OpenClawエージェント向けに、チャットパスワードを自己破壊リンクに置き換えます。
Cloakは、チャットで共有されるパスワードをOpenClawエージェント向けの自己破壊リンクに置き換えるオープンソースツールです。各リンクは一度しか開くことができず、その後パスワードは消滅するため、チャット履歴にパスワードが蓄積されるのを防ぎます。