UStackUStack
ClawSecure icon

ClawSecure

ClawSecure, scanner sécurité OpenClaw gratuit et vérification d’intégrité pour auditer les compétences et workflows d’agents, avec couverture OWASP ASI Top 10 et surveillance 24/7.

Surveillance et Logs
Assistant DevOps IA
Développement Agents IA
Visiter le Site Web
ClawSecure

Qu’est-ce que ClawSecure ?

ClawSecure est un scanner de sécurité OpenClaw et un outil de vérification d’intégrité pour les compétences et workflows d’agents IA. Il vous aide à auditer les compétences d’agents OpenClaw et à les surveiller contre les dérives d’intégrité, afin de réduire les risques liés aux vulnérabilités et changements non autorisés après installation.

Son objectif principal est de dépasser les vérifications limitées aux fichiers en combinant une détection de menaces spécifique à OpenClaw et une analyse comportementale, alignée sur le framework OWASP Agentic Security Initiative (ASI) Top 10.

Fonctionnalités clés

  • Scanner de sécurité OpenClaw gratuit avec couverture OWASP ASI Top 10 : Fournit un score de sécurité (sur 100) et des résultats groupés par gravité mappés sur les catégories OWASP ASI.
  • Protocole d’audit à 3 couches pour compétences et workflows d’agents : Inclut une détection de menaces OpenClaw propriétaire, une analyse comportementale standard de l’industrie, et une base de données de vulnérabilités.
  • Vérifications d’injection de prompt, chaîne d’approvisionnement et comportements malveillants : Le scan couvre des catégories comme le code malveillant et les menaces comportementales, incluant l’injection de prompt et les vulnérabilités de chaîne d’approvisionnement.
  • Surveillance d’intégrité anti-sommeil (« Watchtower ») : Surveillance continue qui détecte les changements de code non autorisés après installation d’une compétence/workflow, comblant le fossé où « propre aujourd’hui » ne garantit pas « sûr demain ».
  • Navigation dans le registre d’agents pour compétences pré-auditées : Permet de rechercher et parcourir des compétences OpenClaw auditées issues d’une liste communautaire et de dépôts associés, avec ré-vérification via le protocole à 3 couches et surveillance 24/7.

Comment utiliser ClawSecure

  1. Scanner une compétence ou un agent : Collez une URL ClawHub, un lien GitHub ou un nom de compétence, ou uploadez un fichier .zip (glisser-déposer pris en charge). Les scans retournent les résultats en moins de 30 secondes.
  2. Examiner les résultats : Utilisez le score de sécurité (0–100) fourni et les résultats détaillés groupés par gravité pour décider d’installer ou utiliser la compétence.
  3. Surveiller l’intégrité après installation : Utilisez le concept Watchtower pour suivre les compétences/workflows dans le temps et détecter les dérives de code lors des mises à jour.
  4. Parcourir le registre audité : Si vous préférez ne pas tout scanner vous-même, parcourez les compétences pré-auditées listées et sélectionnez celles vérifiées via le protocole.

Cas d’usage

  • Auditer une nouvelle compétence OpenClaw avant installation : Utilisez le scanner gratuit pour évaluer une compétence par URL, lien GitHub, nom de compétence ou zip uploadé, puis examinez les résultats groupés par gravité avant de l’ajouter à votre configuration.
  • Vérifier la posture de sécurité d’un workflow OpenClaw : Lancez un audit pour une compétence/workflow d’agent et recherchez les risques alignés sur les catégories OWASP ASI Top 10 (ex. : mésusage d’outils, risques de chaîne d’approvisionnement ou comportements de type agent rebelle).
  • Réduire les risques de changements « sleeper » après installation : Si une compétence est mise à jour ou modifiée après votre scan initial, la surveillance Watchtower détecte les changements non autorisés et déclenche une ré-vérification.
  • Trier en masse les compétences communautaires populaires : Parcourez le registre d’agents audités pour vous concentrer sur les compétences déjà évaluées avec le même protocole à 3 couches et surveillées en continu.
  • Évaluer les mises à jour poussées par les développeurs : Quand un développeur pousse une mise à jour sur une compétence, le comportement Watchtower décrit ré-vérifie pour détecter les dérives de code plutôt que de se fier à un scan antérieur.

FAQ

  • OpenClaw est-il sûr à utiliser ? Le site indique qu’OpenClaw inclut des améliorations comme l’audit de sécurité natif et le sandboxing, mais les compétences tierces sur ClawHub restent problématiques. L’analyse ClawSecure de 2 890 compétences populaires a révélé que 41 % contiennent des vulnérabilités de sécurité substantielles et que 30,6 % présentent des découvertes HIGH ou CRITICAL.

  • Comment vérifier si une compétence est sûre avant installation ? Collez une URL ClawHub, un lien GitHub ou un nom de compétence dans le scanner (ou téléversez un zip). ClawSecure exécute son protocole d’audit en 3 couches pour détecter les menaces comme le code malveillant, les menaces comportementales, l’injection de prompts et les vulnérabilités de chaîne d’approvisionnement, puis fournit un score sur 100 et des découvertes regroupées par gravité.

  • Qu’est-ce que l’OWASP ASI Top 10, et comment ClawSecure l’utilise-t-il ? OWASP Agentic Security Initiative (ASI) Top 10 est un cadre de risques de sécurité pour agents publié en décembre 2025. Le site précise que ClawSecure offre une couverture complète alignée sur ces catégories.

  • Quels inputs puis-je scanner ? Le scanner accepte une URL ClawHub, un lien GitHub, un nom de compétence, ou un téléversement .zip. La page mentionne une taille maximale de 10 Mo et indique les types de sources acceptés : ClawHub, GitHub et zip.

  • Le scan certifie-t-il une compétence comme sûre ? Non. La page précise que les scans fournissent une analyse et une évaluation des risques, non une certification, et que les utilisateurs doivent examiner les découvertes et utiliser leur propre jugement avant installation.

Alternatives

  • Exécuter d’autres outils d’analyse de fichiers ou statique pour le code d’agents : Ces approches se concentrent sur l’aspect dangereux du code, mais n’incluent pas forcément les vérifications comportementales spécifiques à OpenClaw ni la surveillance continue d’intégrité.
  • Utiliser un workflow de test de sécurité pour agents IA axé sur l’injection de prompts et l’abus d’outils : Cela cible les schémas de risques courants des LLM/agents, pouvant compléter ClawSecure si vous avez déjà un harnais de test pour le comportement des agents.
  • Se fier uniquement à un marketplace vérifié ou un registre curated : Si la priorité est la rapidité, optez pour des listings pré-audités ; cela diffère du scan de vos propres compétences/workflows et de la surveillance continue d’intégrité.
  • Révision manuelle du code par des ingénieurs sécurité : Un processus humain peut aborder les problèmes de logique et de dépendances, mais ne fournit pas la même évaluation structurée, basée sur protocole, et re-vérification décrites par ClawSecure.

Alternatives

OpenFlags icon

OpenFlags

OpenFlags est un système open source de feature flags auto-hébergé pour déploiement progressif : évaluation locale via SDK et contrôle REST.

BenchSpan icon

BenchSpan

BenchSpan exécute des benchmarks d’agents IA en parallèle, consigne scores et échecs dans un historique, et facilite la reproductibilité via des exécutions taguées par commit.

Rectify icon

Rectify

Rectify est une plateforme d’opérations tout-en-un pour SaaS : monitoring, analytics, support, roadmaps, changelogs et gestion des agents, pilotés par conversation.

Sleek Analytics icon

Sleek Analytics

Sleek Analytics : analytics légères et respectueuses de la vie privée, avec suivi en temps réel des visiteurs. Provenance, pages consultées et durée.

Codex Plugins icon

Codex Plugins

Utilisez Codex Plugins pour regrouper des skills, intégrations d’app et serveurs MCP en workflows réutilisables afin d’étendre l’accès à Gmail, Google Drive et Slack.

Falconer icon

Falconer

Falconer est une plateforme de connaissances qui se met à jour automatiquement pour équipes rapides : écrivez, partagez et trouvez une documentation interne fiable.

ClawSecure | UStack