IronClaw

Was ist IronClaw?

IronClaw ist ein Open-Source Secure Runtime für AI-Agenten in verschlüsselten Trusted Execution Environments (TEEs) auf NEAR AI Cloud. Sein Kernzweck ist es, Ihnen Agent-Workflows zu ermöglichen, die „wirklich etwas bewirken“, während Ihre Zugangsdaten vor dem Agenten und vor Prompt-Injection-basiertem Credential-Theft geschützt bleiben.

Anstatt sich darauf zu verlassen, dem AI zu sagen, keine Geheimnisse preiszugeben, speichert IronClaw Zugangsdaten in einem verschlüsselten Vault und injiziert sie nur an genehmigten Netzwerkgrenzen in Anfragen. Es führt zudem Agent-Tools in sandboxed Wasm-Containern mit Capability-Style-Berechtigungen und erlaubten Endpunkten aus.

Wichtige Funktionen

• Verschlüsselter Vault für Zugangsdaten: API-Keys, Tokens und Passwörter sind im Ruhezustand verschlüsselt und bleiben dem AI unsichtbar; IronClaw injiziert Zugangsdaten nur dort, wo Sie es erlaubt haben.
• Verschlüsselte Trusted Execution Environment (TEE): Ihre IronClaw-Instanz läuft in einer TEE auf NEAR AI Cloud, mit Verschlüsselung im Speicher vom Booten bis zum Herunterfahren.
• Netzwerk-Allowlisting (Endpunkt-Ebene-Kontrolle): Tools können nur vordefinierte Endpunkte erreichen, was „stilles Phone-Home“ einschränkt und unbeabsichtigte Datenbewegungen reduziert.
• Sandboxed Tools mit Wasm-Containern: Jedes Tool läuft in eigenem Wasm-Umfeld mit capability-basierten Berechtigungen, erlaubten Endpunkten und strengen Ressourcenlimits.
• Leak-Erkennung für ausgehenden Traffic: Ausgehende Anfragen werden in Echtzeit gescannt; verdächtige, secret-ähnliche Daten nach außen werden automatisch blockiert.
• Memory-Safety-orientierte Implementierung (Rust + Verification): IronClaw ist in Rust gebaut und enthält Checks wie Wasm-Validierung und Blockierung unsicherer Inhalte im Runtime-Flow.

So verwenden Sie IronClaw

1. IronClaw auf NEAR AI Cloud bereitstellen über den One-Click-Cloud-Deployment-Flow.
2. Erlaubte Endpunkte und Zugangsdaten konfigurieren für den Agenten über IronClaw-Konfiguration – API-Keys/Tokens/Passwörter in den verschlüsselten Vault legen und erlaubte Endpunkte festlegen.
3. Den Agenten über die IronClaw-Instanz ausführen, damit Tools in sandboxed Wasm-Containern laufen und Zugangsdaten nur für genehmigte Anfragen injiziert werden.

Falls Sie lokalen Betrieb bevorzugen, gibt die Seite an, dass IronClaw lokal laufen kann, enthält aber keine lokalen Setup-Schritte.

Anwendungsfälle

• Persönlicher AI-Assistent mit externen Services: OpenClaw-Style Browsing/Research/Coding/Automatisierung nutzen, während API-Keys und Tokens dem Agenten vorenthalten bleiben.
• Agent-Workflows mit mehreren Third-Party-APIs: Allowlist von Endpunkten definieren, damit jedes Tool nur spezifische Services erreicht.
• Projekte mit Third-Party-„Skills“ oder Tools: Risiko mindern, dass kompromittierte oder bösartige Tools Zugangsdaten exfiltrieren, durch Isolation der Tools und Einschränkung ausgehender Zugriffe.
• Teams mit Agenten in sensiblen Umgebungen: Verdächtige Secret-Leaks im ausgehenden Traffic abfangen und verhindern, dass Daten über ungenehmigte Kanäle verlassen.
• Experimente mit Agent-Fähigkeiten ohne Erweiterung der Exposition: „Vollständiges agentisches Verhalten“ für Aktionen bieten, mit Fokus auf Kontrollen, wo Zugangsdaten injiziert werden und welche Endpunkte erreichbar sind.

FAQ

Ist IronClaw ein Ersatz für OpenClaw?
IronClaw positioniert sich als sichere, Open-Source-Alternative zu OpenClaw für OpenClaw-Style persönliche AI-Assistenten mit zusätzlichen Credential-Schutzmechanismen.

Wie verhindert IronClaw Credential-Theft durch Prompt Injection?
Der Agent erhält keine rohen Zugangsdaten. Diese werden in einem verschlüsselten Vault gespeichert und nur an der Host-Grenze für Allowlist-Endpunkte injiziert, sodass Prompt-basierte Versuche weniger zugänglich haben.

Welche Security-Boundaries nutzt IronClaw?
Die Seite beschreibt verschlüsselte TEEs für die Instanz, sandboxed Tools in Wasm-Containern und Endpunkt-Allowlisting zur Kontrolle der Tool-Traffic-Ziele.

Scannt IronClaw ausgehenden Traffic?
Ja. Die Seite gibt an, dass ausgehender Traffic in Echtzeit gescannt wird und secret-ähnliche Daten automatisch blockiert werden.

Wo kann IronClaw bereitgestellt werden?
Die Seite nennt NEAR AI Cloud (mit One-Click-Deployment) und lokalen Betrieb als Optionen.

Alternativen

• OpenClaw ohne zusätzliche Isolation: Dies ist die im Quelltext genannte nächstgelegene Alternative. Sie bietet ähnliche Agentenfunktionen, doch die Seite hebt höhere Risiken der Zugangsdaten-Exposition durch Prompt-Injection und bösartige Skills hervor.
• Andere Secure-Runtime-/TEE-basierte Agentenansätze: Statt Credential-Injection an der Netzwerkgrenze können Sie nach Runtimes suchen, die Agentencode in sicheren Enklaven oder hardwaregestützter Isolation ausführen.
• Netzwerkbeschränkte Agenten-Setups (Proxy/Firewall-Allowlisting): Anstelle eines verschlüsselten Vaults + TEE-Modells konzentrieren sich manche Setups auf die Einschränkung ausgehender Ziele über Netzwerkkontrollen; dies reduziert Exfiltrationspfade, löst aber nicht das vom Text genannte Problem „Agent kann Zugangsdaten sehen“.
• Anwendungsebenen-Geheimnismanagement (Redaktion/Secrets-Vaults ohne TEEs): Diese Alternativen schützen Geheimnisse durch Vaulting und Zugriffsrichtlinien, unterscheiden sich jedoch vom von IronClaw beschriebenen Enforcement-Modell mit Enklaven-Ausführung, sandboxed Tools und Erkennung ausgehender Lecks.