ClawSecure

Qu'est-ce que ClawSecure ?

ClawSecure est un scanner de sécurité OpenClaw et un outil de vérification d’intégrité conçu pour aider à évaluer la sécurité des skills d’agents OpenClaw et des workflows agentiques. Son objectif principal est de fournir une analyse de sécurité pour les skills individuels et de supporter la vérification des workflows au fil de leur évolution.

Au lieu de se limiter à des vérifications statiques sur un fichier, ClawSecure met l’accent sur la vérification d’intégrité et la surveillance continue, avec une couverture alignée sur les 10 principales catégories de risques OWASP Agentic Security Initiative (ASI).

Fonctionnalités principales

• Scanner de sécurité OpenClaw gratuit avec couverture OWASP ASI Top 10 : Exécute une analyse contre les catégories de risques de sécurité agentique pour produire un score de sécurité et des résultats groupés par gravité.
• Protocole d’audit 3 couches pour les skills/workflows OpenClaw : Combine détection de menaces propriétaire, analyse comportementale et base de données de vulnérabilités pour évaluer les menaces telles que le code malveillant, les menaces comportementales, l’injection de prompts et les vulnérabilités de chaîne d’approvisionnement.
• Protection anti-sommeil via surveillance Watchtower 24/7 : Détecte la dérive de code en surveillant les mises à jour pour revérifier les skills précédemment scannés lors de l’introduction de changements.
• Découverte de registre d’agents pour skills pré-audités : Permet aux utilisateurs de parcourir les skills OpenClaw audités en sécurité à partir des listes et dépôts communautaires référencés sur le site.
• Multiples entrées de scan (URL, lien GitHub, nom de skill ou upload zip) : Supporte le scan par URL ClawHub, lien GitHub, nom de skill ou upload d’archive .zip (max 10MB, format .zip).

Comment utiliser ClawSecure

1. Ouvrez la page du scanner ClawSecure et choisissez une méthode d’entrée : collez une URL ClawHub, fournissez un lien GitHub, entrez un nom de skill ou uploadez un fichier .zip (max 10MB).
2. Lancez le scan pour obtenir les résultats en quelques secondes (la page indique des résultats en <30s) incluant un score de sécurité sur 100 et des résultats groupés par gravité.
3. Pour les skills que vous installez ou les workflows que vous construisez, fiez-vous à la surveillance Watchtower 24/7 de ClawSecure pour détecter les changements non autorisés et déclencher une revérification lors d’une mise à jour de code par un développeur.

Cas d’usage

• Auditer un skill OpenClaw tiers avant installation : Collez l’URL ClawHub du skill, le lien GitHub ou le nom pour obtenir un score de sécurité et des résultats groupés par gravité.
• Revérifier les risques après mise à jour d’un skill installé : Utilisez le suivi continu d’intégrité de Watchtower pour être alerté en cas de dérive de code après un nouveau push/mise à jour.
• Évaluer un workflow agentique par ses skills composants : Scannez les skills individuels lors de l’assemblage du workflow pour réduire le risque d’inclure des composants vulnérables.
• Parcourir et présélectionner des skills pré-audités depuis un registre de sécurité : Recherchez dans la liste d’agents audités du site (2 890+ skills audités référencés) pour trouver des options déjà soumises au protocole 3 couches.
• Évaluer les approvisionnements et préoccupations liées à la chaîne d’approvisionnement : Utilisez la couverture du protocole des vulnérabilités de chaîne d’approvisionnement avec les vérifications de code malveillant et menaces comportementales lors de l’examen de contributions tierces.

FAQ

OpenClaw est-il sûr à utiliser ?

OpenClaw a apporté des améliorations à la sécurité de la plateforme (y compris audit de sécurité natif et sandboxing), mais le site note que les skills tiers sur ClawHub peuvent rester problématiques. Le scanner ClawSecure est conçu pour aider à auditer les skills avant installation.

Comment vérifier si un skill OpenClaw est sûr avant installation ?

Utilisez le scanner en entrant une URL ClawHub, un lien GitHub ou un nom de skill (ou uploadez un zip). Le scan exécute un Protocole d’Audit 3 Couches et retourne un score de sécurité (sur 100) et des résultats détaillés groupés par gravité.

Qu’est-ce que l’OWASP Agentic Security Initiative (ASI) Top 10 ?

La page décrit l’OWASP ASI Top 10 comme un cadre standard de l’industrie pour les risques de sécurité des agents IA sur 10 catégories, incluant des sujets comme le détournement d’objectif d’agent, l’abus d’outils, les attaques de chaîne d’approvisionnement, l’exécution de code et les agents renégats.

Quels résultats fournit le scanner ?

Le site indique que les résultats sont livrés rapidement (en quelques secondes) et incluent un score de sécurité sur 100 plus des résultats détaillés groupés par gravité.

ClawSecure stocke-t-il mes données ou certifie-t-il la sécurité ?

La page précise que les scans fournissent analyse et évaluation des risques, pas de certification, et mentionne également qu’il n’y a aucun stockage de données.

Alternatives

• Scanners généraux de malwares statiques ou de code : Ils se concentrent sur le fait de savoir si un fichier est dangereux, mais la page ClawSecure positionne son approche comme contextuelle pour les workflows agentiques et inclut une surveillance d’intégrité au-delà des vérifications statiques.
• Évaluation en sandbox des skills tiers : Exécuter les skills dans un environnement isolé réduit les risques, en complément (plutôt qu’en remplacement) d’une analyse de sécurité ciblée pour agents.
• Outils de scan de sécurité suivant les frameworks OWASP : Si vous utilisez déjà des outils mappés aux catégories OWASP, cherchez ceux qui couvrent les risques spécifiques aux agents (ex. : injection de prompts, mauvaise utilisation d’outils) plutôt que seulement les vulnérabilités logicielles traditionnelles.
• Revue de code manuelle et audit des dépendances : Pour les équipes qui examinent les skills en interne, combinez revue humaine et tests automatisés pour réduire la dépendance à un seul résultat de scan au fil du temps.