UStackUStack
ClawSecure icon

ClawSecure

ClawSecureは無料のOpenClawセキュリティスキャナーと完全性検証。OWASP ASI Top 10に対応し、導入後24/7で監視。

監視・ログ管理
AI DevOpsアシスタント
AIエージェント開発
ウェブサイトを訪問
ClawSecure

ClawSecureとは?

ClawSecureは、AIエージェントのスキルとワークフローを対象としたOpenClawセキュリティスキャナーと完全性検証ツールです。OpenClawエージェントスキルの監査を支援し、完全性ドリフトを監視して、インストール後の脆弱性や不正変更によるリスクを低減します。

主な目的は、ファイルのみのチェックを超え、OpenClaw特有の脅威検知と動作分析を組み合わせ、OWASP Agentic Security Initiative (ASI) Top 10フレームワークに沿った評価を行うことです。

主な機能

  • OWASP ASI Top 10対応の無料OpenClawセキュリティスキャナー: 100点満点のセキュリティスコアと、OWASP ASIカテゴリにマッピングされた重大度別所見を生成します。
  • エージェントスキルとワークフローの3層監査プロトコル: OpenClaw独自の脅威検知、業界標準の動作分析、脆弱性データベースを含みます。
  • プロンプトインジェクション、サプライチェーン、悪意ある動作チェック: 悪意あるコードや動作脅威などのカテゴリをカバーし、プロンプトインジェクションやサプライチェーン脆弱性を含みます。
  • アンチスリーパー完全性監視(「Watchtower」): スキル/ワークフローのインストール後に不正なコード変更を検知する継続監視で、「今日クリーンだから明日も安全」というギャップを埋めます。
  • 事前監査済みスキルのエージェントレジストリ閲覧: コミュニティキュレーションのリストや関連リポジトリから監査済みOpenClawスキルを検索・閲覧でき、3層プロトコルと24/7監視による再検証が可能です。

ClawSecureの使い方

  1. スキルまたはエージェントをスキャン: ClawHub URL、GitHubリンク、スキル名を貼り付け、または**.zipファイルをアップロード(ドラッグ&ドロップ対応)。スキャンは30秒未満**で結果を返します。
  2. 結果を確認: 提供されるセキュリティスコア(0–100)詳細な重大度別所見を使って、スキルのインストールや使用を判断します。
  3. インストール後の完全性監視: Watchtowerでスキル/ワークフローを継続追跡し、更新時のコードドリフトを検知します。
  4. 監査済みレジストリを閲覧: すべてを自分でスキャンしたくない場合、プロトコルで検証済みのリストされたスキルを閲覧して選択します。

ユースケース

  • 新しいOpenClawスキルのインストール前に監査: 無料スキャナーでURL、GitHubリンク、スキル名、またはアップロードzipを使って評価し、重大度別所見を確認してからセットアップに追加します。
  • OpenClawワークフローのセキュリティ態勢を検証: エージェントスキル/ワークフローの監査を実行し、OWASP ASI Top 10カテゴリ(例: ツール誤用、サプライチェーンリスク、ローグエージェント的動作)に沿ったリスクを確認します。
  • インストール後の「スリーパー」変更によるリスク低減: 初期スキャン後にスキルが更新・変更された場合、Watchtower監視で不正変更を検知し、再検証をトリガーします。
  • 人気コミュニティスキルを一括トリアージ: 同じ3層プロトコルで評価・継続監視済みの監査済みエージェントレジストリを閲覧し、注目スキルを絞り込みます。
  • 開発者による更新を評価: 開発者がスキルを更新した場合、Watchtowerの動作で再検証を行い、以前のスキャンに頼らずコードドリフトを捕捉します。

FAQ

  • OpenClawは安全に使用できますか? サイトによると、OpenClawにはネイティブセキュリティ監査やサンドボックス化などの改善が施されていますが、ClawHubのサードパーティスキルは懸念事項です。ClawSecureの2,890の人気スキル分析では、41%に重大なセキュリティ脆弱性があり、30.6%にHIGHまたはCRITICALの所見がありました。

  • インストール前にスキルが安全か確認するには? ClawHub URL、GitHubリンク、またはスキル名をスキャナーに入力(またはzipをアップロード)。ClawSecureは悪意あるコード、行動脅威、プロンプトインジェクション、サプライチェーン脆弱性などの脅威に対し3層監査プロトコルを実行し、100点満点のスコアと重大度別所見を返します。

  • OWASP ASI Top 10とは何か、ClawSecureはどのように活用しますか? OWASP Agentic Security Initiative (ASI) Top 10は2025年12月に公開されたエージェントセキュリティリスクフレームワークです。サイトによると、ClawSecureはこれらのカテゴリに沿った包括的なカバレッジを提供します。

  • どのような入力をスキャンできますか? スキャナーはClawHub URLGitHubリンクスキル名、または**.zipアップロードを受け付けます。ページでは最大アップロードサイズ10MB**と、ClawHub、GitHub、zipアップロードのソースタイプを記載しています。

  • スキャンでスキルが安全と認定されますか? いいえ。ページによると、スキャンは分析とリスク評価を提供するもので認定ではなく、ユーザーは所見を確認し、インストール前に自己判断してください。

代替案

  • エージェントコード向けの他のファイルまたは静的解析ツールを実行: これらはコードが危険に見えるかを焦点にしますが、OpenClaw特有の行動チェックや継続的な完全性監視は含まれない可能性があります。
  • プロンプトインジェクションやツール誤用に焦点を当てたAIエージェントセキュリティテストワークフロー: 一般的なLLM/エージェントリスクパターンを対象とし、エージェント行動のテストハーネスをお持ちならClawSecureを補完する可能性があります。
  • 審査済みマーケットプレイスやキュレートされたレジストリのみに頼る: 速度を優先する場合、事前監査済みリストから選択可能ですが、自分のスキル/ワークフローをスキャンしたり継続監視したりするのとは異なります。
  • セキュリティエンジニアによる手動コードレビュー: 人間のレビューで論理や依存関係の問題に対応できますが、ClawSecureで説明される構造化されたプロトコルベースの評価や再検証機能は提供されない可能性があります。

代替品

OpenFlags icon

OpenFlags

OpenFlagsはオープンソースのセルフホスト型フィーチャーフラグ管理。アプリSDKでローカル評価し、制御プレーンで安全に段階展開。

BenchSpan icon

BenchSpan

BenchSpanはAIエージェントのベンチマークを並列実行し、スコアと失敗を整理した実行履歴に記録。コミット連携で再現性向上。

Rectify icon

Rectify

RectifyはSaaS向けオペレーション統合プラットフォーム。監視・分析・サポート・ロードマップ/変更履歴・エージェント管理を会話で一元操作。

Sleek Analytics icon

Sleek Analytics

Sleek Analyticsは軽量でプライバシーに配慮した分析ツール。リアルタイム訪問者追跡で流入元・閲覧・滞在時間を可視化。

Codex Plugins icon

Codex Plugins

Codex Pluginsでスキル、アプリ連携、MCPサーバーを再利用可能なワークフローにまとめ、Gmail・Google Drive・Slack等のツールにアクセス。

Falconer icon

Falconer

Falconerは、スピード重視のチーム向けの自己更新ナレッジ基盤。社内ドキュメントとコード文脈を一元化して共有・検索できます。

ClawSecure | UStack