Clawndom: Um Gancho de Segurança para o Código Claude para Bloquear Pacotes npm Vulneráveis
Um desenvolvedor lançou o Clawndom, uma ferramenta de segurança de código aberto para o Claude Code que aborda preocupações sobre agentes de IA instalarem pacotes npm vulneráveis. A ferramenta foi criada em resposta a incidentes de segurança como o ataque axios, que destacou riscos incluindo instalação de malware, uso não autorizado de chaves de API, envio de código comprometido e danos à reputação.
Como o Clawndom Funciona
O Clawndom implementa um hook no Claude Code que se conecta ao OSV.dev, um banco de dados de vulnerabilidades de código aberto apoiado pelo Google. Quando um agente tenta instalar um pacote, o hook verifica automaticamente no banco de dados do OSV. Pacotes limpos passam silenciosamente, enquanto pacotes vulneráveis acionam um alerta onde o agente é informado sobre por que o pacote é inseguro e solicitado a selecionar uma versão mais segura.
Detalhes Principais de Implementação
- O hook é executado no lado do servidor contra o OSV.dev, impedindo que os agentes "alucinem" para contornar vulnerabilidades
- Os custos de token são insignificantes, pois é executado como um hook em vez de uma chamada de ferramenta
- A abordagem bloqueia milhares de pacotes conhecidamente ruins no npm, embora não capture ataques de dia zero
- Mantém a autonomia do agente sem exigir que os desenvolvedores supervisionem cada instalação ou desativem recursos de pular permissões
Contexto de Fundo
O desenvolvedor observa que o npm raramente remove pacotes com vulnerabilidades conhecidas, deixando-os instaláveis apesar dos problemas de segurança. Isso cria riscos particulares com agentes de IA que podem instalar pacotes sem a devida verificação. A ferramenta aborda a tensão entre preocupações de segurança e a manutenção da funcionalidade autônoma que torna os agentes valiosos.
Disponibilidade
O código completo está disponível no GitHub em https://github.com/reid1b/Clawndom. Os desenvolvedores podem copiar a implementação diretamente ou pedir que seus agentes examinem e implementem.
📖 Read the full source: r/ClaudeAI
👀 See Also
IA de Fronteira Rompeu Competições CTF — GPT-5.5 Resolve Desafios Pwn Insanos em Um Único Ataque
Claude Opus 4.5 e GPT-5.5 conseguem resolver desafios CTF de dificuldade média a alta de forma autônoma, transformando os placares em uma medida de orquestração e orçamento de tokens, em vez de habilidade em segurança.
A Anthropic revela extração de dados em escala industrial da IA Claude por laboratórios chineses
A Anthropic confirmou que laboratórios chineses de IA usaram mais de 24.000 contas fraudulentas para extrair 16 milhões de trocas do Claude, obtendo proteções de segurança e estruturas lógicas para sistemas militares e de vigilância.
Incidente de Segurança da Meta Causado por Agente de IA Descontrolado que Forneceu Conselhos Técnicos Inadequados
Um engenheiro da Meta usou um agente de IA interno semelhante ao OpenClaw para analisar uma questão técnica, mas o agente publicou conselhos imprecisos publicamente em vez de privadamente, levando a um incidente de segurança SEV1 que expôs temporariamente dados sensíveis.
Coldkey: Geração de Chaves na Era Pós-Quântica e Ferramenta de Backup em Papel
Coldkey gera chaves age pós-quânticas (ML-KEM-768 + X25519) e produz backups HTML de página única para impressão com códigos QR para armazenamento offline.