ClawCare: Guarda de Segurança para Agentes de Codificação de IA Após Vazamento de Chave da AWS

ClawCare é uma ferramenta de segurança para agentes de codificação de IA que intercepta e verifica comandos antes da execução, criada após um desenvolvedor vazar acidentalmente uma chave secreta da AWS através do Claude Code. O desenvolvedor pediu ao agente para verificar variáveis de ambiente, esquecendo que uma chave da AWS estava armazenada lá, o que entrou no contexto da sessão e foi enviado ao provedor do LLM.

Principais Recursos

ClawCare se conecta diretamente ao Claude Code como um hook PreToolUse, verificando cada comando antes da execução. Inclui regras integradas que bloqueiam padrões específicos:

• Despejos em massa de env → bloqueado (HIGH_ENV_BULK_DUMP)
• Exfiltração via curl -d → bloqueado (CRIT_NETWORK_EXFIL)
• Shells reversos nc -e /bin/bash → bloqueado (CRIT_REVERSE_SHELL)
• Padrões de pipe para shell → bloqueado (CRIT_PIPE_TO_SHELL)
• Comandos de risco médio como eval $(...) → exibe um prompt de confirmação

A ferramenta registra violações em um relatório usando um hook PostToolUse. Também realiza varredura estática de diretórios .claude/skills/ em busca de padrões perigosos, que pode ser executada localmente ou controlada em CI com clawcare scan <diretorio da skill> --ci.

Configuração e Uso

A configuração leva cerca de 10 segundos:

pip install clawcare
clawcare guard activate --platform claude

Para rastreamento de auditoria:

clawcare guard report --since 24h

ClawCare inclui mais de 30 regras integradas, suporta regras personalizadas em YAML e permite manifestos de política por skill. Suporta OpenClaw, Cursor e Codex além do Claude. A ferramenta é licenciada sob Apache 2.0 e requer Python 3.10+.

Este tipo de ferramenta de segurança aborda o risco de dar aos agentes de IA acesso a shells, arquivos e segredos com proteções mínimas, particularmente em relação a skills de terceiros que podem executar comandos sem visibilidade.