UStackUStack
ClawSecure icon

ClawSecure

ClawSecure é um scanner de segurança OpenClaw gratuito e verificação de integridade para auditar skills e workflows, com cobertura OWASP ASI Top 10.

Monitoramento e Logs
Assistente DevOps IA
Desenvolvimento Agentes IA
Visitar Site
ClawSecure

O que é ClawSecure?

ClawSecure é um scanner de segurança OpenClaw e ferramenta de verificação de integridade para skills e workflows de agentes de IA. Ele ajuda a auditar skills de agentes OpenClaw e monitorá-las quanto a deriva de integridade, visando reduzir riscos de vulnerabilidades e alterações não autorizadas após a instalação.

Seu propósito principal é ir além de verificações apenas de arquivos, combinando detecção de ameaças específicas do OpenClaw e análise comportamental, alinhando as avaliações ao framework OWASP Agentic Security Initiative (ASI) Top 10.

Principais Recursos

  • Scanner de segurança OpenClaw gratuito com cobertura OWASP ASI Top 10: Gera uma pontuação de segurança (de 100) e achados agrupados por gravidade mapeados às categorias OWASP ASI.
  • Protocolo de auditoria em 3 camadas para skills e workflows de agentes: Inclui detecção de ameaças proprietária do OpenClaw, análise comportamental padrão da indústria e banco de dados de vulnerabilidades.
  • Verificações de injeção de prompt, cadeia de suprimentos e comportamentos maliciosos: O scan cobre categorias como código malicioso e ameaças comportamentais, incluindo injeção de prompt e vulnerabilidades de cadeia de suprimentos.
  • Monitoramento de integridade anti-sleeper (“Watchtower”): Monitoramento contínuo detecta alterações de código não autorizadas após a instalação de uma skill/workflow, abordando a lacuna onde “limpo hoje” não garante “seguro amanhã”.
  • Navegação no registro de agentes para skills pré-auditadas: Permite buscar e navegar skills OpenClaw auditadas em uma listagem curada pela comunidade e repositórios relacionados, com re-verificação via protocolo de 3 camadas e monitoramento 24/7.

Como Usar o ClawSecure

  1. Escanear uma skill ou agente: Cole uma URL do ClawHub, link do GitHub ou nome da skill, ou faça upload de um arquivo .zip (arrastar e soltar suportado). O texto fonte afirma que os scans retornam resultados em menos de 30 segundos.
  2. Revisar os resultados: Use a pontuação de segurança (0–100) fornecida e os achados detalhados agrupados por gravidade para decidir se instala ou usa a skill.
  3. Monitorar integridade após instalação: Use o conceito Watchtower para continuar rastreando skills/workflows ao longo do tempo e detectar deriva de código em atualizações.
  4. Navegar no registro auditado: Se preferir não escanear tudo sozinho, navegue pelas skills pré-auditadas listadas e selecione as verificadas pelo protocolo.

Casos de Uso

  • Auditar uma nova skill OpenClaw antes de instalá-la: Use o scanner gratuito para avaliar uma skill por URL, link do GitHub, nome da skill ou zip enviado, depois revise os achados agrupados por gravidade antes de adicioná-la à sua configuração.
  • Verificar a postura de segurança de um workflow OpenClaw: Execute uma auditoria em uma skill/workflow de agente e procure riscos alinhados às categorias OWASP ASI Top 10 (ex.: uso indevido de ferramentas, riscos de cadeia de suprimentos ou comportamentos estilo rogue-agent).
  • Reduzir riscos de alterações “sleeper” após instalação: Se uma skill for atualizada ou alterada após o scan inicial, o monitoramento Watchtower detecta mudanças não autorizadas e aciona re-verificação.
  • Triar skills comunitárias populares em massa: Navegue no registro de agentes auditados para focar em skills já avaliadas pelo mesmo protocolo de 3 camadas e monitoradas continuamente.
  • Avaliar atualizações enviadas por desenvolvedores: Quando um desenvolvedor envia uma atualização para uma skill, o comportamento Watchtower descrito re-verifica para captar deriva de código em vez de depender de um scan anterior.

FAQ

  • O OpenClaw é seguro para usar? O site afirma que o OpenClaw tem melhorias como auditoria de segurança nativa e sandboxing, mas skills de terceiros no ClawHub continuam sendo uma preocupação. A análise do ClawSecure em 2.890 skills populares encontrou que 41% contêm vulnerabilidades de segurança substanciais e 30,6% têm achados ALTO ou CRÍTICO.

  • Como verifico se uma skill é segura antes de instalar? Cole uma URL do ClawHub, link do GitHub ou nome da skill no scanner (ou faça upload de um zip). O ClawSecure executa seu protocolo de auditoria em 3 camadas para ameaças como código malicioso, ameaças comportamentais, prompt injection e vulnerabilidades de supply chain, retornando uma pontuação de 0 a 100 e achados agrupados por severidade.

  • O que é o OWASP ASI Top 10 e como o ClawSecure o usa? OWASP Agentic Security Initiative (ASI) Top 10 é um framework de riscos de segurança para agents lançado em dezembro de 2025. O site indica que o ClawSecure oferece cobertura abrangente alinhada a essas categorias.

  • Quais entradas posso escanear? O scanner aceita URL do ClawHub, link do GitHub, nome da skill ou upload de .zip. A página também menciona um tamanho máximo de upload de 10MB e indica tipos de fontes aceitos como ClawHub, GitHub e upload de zip.

  • O escaneamento certifica uma skill como segura? Não. A página afirma que os scans fornecem análise e avaliação de risco, não certificação, e que os usuários devem revisar os achados e usar seu próprio julgamento antes de instalar.

Alternativas

  • Executar outras ferramentas de análise de arquivos ou estática para código de agents: Essas abordagens focam se o código parece perigoso, mas podem não incluir verificações comportamentais específicas do OpenClaw ou monitoramento contínuo de integridade.
  • Usar um workflow de teste de segurança de AI-agents focado em prompt injection e mau uso de ferramentas: Isso mira padrões comuns de risco de LLM/agents, podendo complementar o ClawSecure se você já tiver um harness de teste para comportamento de agents.
  • Depender apenas de um marketplace verificado ou registro curado: Se a prioridade for velocidade, você pode escolher de listagens pré-auditadas; isso difere de escanear suas próprias skills/workflows e do monitoramento contínuo de integridade.
  • Revisão manual de código por engenheiros de segurança: Um processo humano pode abordar questões de lógica e dependências, mas pode não fornecer a mesma avaliação estruturada, baseada em protocolo e re-verificação descrita pelo ClawSecure.

Alternativas

OpenFlags icon

OpenFlags

OpenFlags é um sistema de feature flags open source e self-hosted para progressive delivery, com avaliação local via SDKs e control plane.

BenchSpan icon

BenchSpan

BenchSpan executa benchmarks de agentes de IA em paralelo, registra scores e falhas em um histórico organizado e facilita reprodutibilidade por commit.

Rectify icon

Rectify

Rectify é uma plataforma de operações tudo-em-um para SaaS: monitoramento, analytics, suporte, roadmaps, changelogs e gestão de agentes em um workspace visual por conversa.

Sleek Analytics icon

Sleek Analytics

Analítica leve e focada na privacidade com rastreamento em tempo real: veja de onde vêm os visitantes, o que acessam e por quanto tempo.

Codex Plugins icon

Codex Plugins

Use Codex Plugins para combinar skills, integrações de apps e servidores MCP em fluxos reutilizáveis, ampliando o acesso do Codex a Gmail, Drive e Slack.

Falconer icon

Falconer

Falconer é uma plataforma de conhecimento que se atualiza sozinha, reunindo documentação interna e contexto de código para equipes rápidas encontrarem e compartilharem.

ClawSecure | UStack