ClawSecure: Plataforma de Segurança para o Ecossistema OpenClaw

O que o ClawSecure faz
O ClawSecure é uma plataforma de segurança dedicada inteiramente ao ecossistema OpenClaw, projetada para proteger contra hackers, golpistas e dependências comprometidas no dinâmico ecossistema de skills.
Protocolo de Auditoria de 3 Camadas
- L1: Mecanismo Proprietário - Utiliza mais de 55 padrões de detecção desenvolvidos para o formato de skills do OpenClaw. Detecta beaconing C2, exfiltração baseada em webhooks, manipulação de config.json, coleta de credenciais e injeção de prompt embutida nas instruções das skills. Consciente do contexto para distinguir comportamento normal do agente de atividades suspeitas.
- L2: Análise Estática e Comportamental de Código - Inclui correspondência YARA, rastreamento de fluxo de dados, detecção de eval() e identificação de payloads em base64.
- L3: Cadeia de Suprimentos - Verifica cada dependência npm contra o OSV.dev em busca de CVEs conhecidos.
Monitoramento Contínuo Watchtower
- Rastreia hashes SHA-256 de todas as skills auditadas a cada 12 horas
- Detecta desvio de código pós-instalação
- Se uma skill sofrer mutação após a instalação, o Watchtower a sinaliza e dispara uma nova auditoria
- Aborda a realidade de que uma skill limpa hoje não garante uma skill limpa amanhã
Recursos de Segurança Adicionais
- Protege marketplaces de agentes e protocolos de identidade de agentes para criar uma camada de confiança em todo o ecossistema
- Oferece cobertura completa em todas as 10 categorias do framework OWASP Agentic Security Initiatives (ASI)
- Cada descoberta é mapeada para uma categoria específica da ASI (cadeia de suprimentos, execução de código, manipulação de memória/contexto, falhas em cascata, etc.)
Status Atual
A plataforma já auditou mais de 3.000 das skills OpenClaw mais populares até o momento. Está disponível gratuitamente sem necessidade de cadastro e foi desenvolvida especificamente apenas para o OpenClaw.
📖 Read the full source: r/clawdbot
👀 See Also

Pacote MCP de Varredura de Segurança Revela Capacidades Destrutivas Generalizadas Sem Confirmação
Uma análise de segurança de 2.386 pacotes MCP no npm descobriu que 63,5% expõem operações destrutivas como exclusão de arquivos e remoção de bancos de dados sem exigir confirmação humana. O pesquisador descobriu que 49% tinham problemas de segurança no geral, com 402 vulnerabilidades críticas e 240 de alta gravidade.

Cibercriminosos Reagem Contra a Porcaria Gerada por IA em Fóruns Subterrâneos
Novas pesquisas mostram que hackers e golpistas de baixo nível estão reclamando de postagens geradas por IA em fóruns de crimes cibernéticos, considerando-as ruído de baixa qualidade que prejudica a confiança da comunidade e a interação social.

O Ataque FlyTrap Usa Guarda-Chuvas Adversariais para Comprometer Drones Autônomos Baseados em Câmera
Pesquisadores da UC Irvine desenvolveram o FlyTrap, uma estrutura de ataque físico que utiliza guarda-chuvas pintados para explorar vulnerabilidades em sistemas autônomos de rastreamento de alvos baseados em câmera. O ataque reduz as distâncias de rastreamento para níveis perigosos, permitindo captura de drones, ataques a sensores ou colisões físicas.

Axios 1.14.1 comprometido com malware, mira fluxos de trabalho de desenvolvimento assistido por IA
A versão 1.14.1 do Axios foi comprometida em um ataque à cadeia de suprimentos que silenciosamente incorpora [email protected], um dropper de RAT ofuscado. Desenvolvedores que usam assistentes de codificação com IA, como o Claude, devem verificar imediatamente seus arquivos de bloqueio e máquinas em busca de infecção.