
de clawsec991
Scanner de vulnérabilités automatisé multi-moteurs pour les plateformes d'agents, effectuant des analyses de dépendances, du SAST, l'enrichissement CVE et des harnais DAST spécifiques aux agents.
ClawSec Scanner automatise l'analyse de sécurité pour les compétences et les dépôts d'agents. Il exécute des analyses de dépendances (npm audit, pip-audit), interroge les fournisseurs de CVE (OSV, NVD, GitHub Advisory), effectue des analyses statiques avec Semgrep/Bandit et exécute un harnais d'analyse dynamique adapté aux agents pour les hooks OpenClaw. Les résultats sont normalisés dans un JSON ScanReport unifié avec des résumés de sévérité et des conseils de remédiation.
Utilisez ClawSec Scanner lors de l'audit des compétences d'agent avant le déploiement, lors des points de contrôle CI/CD, ou selon une cadence programmée pour détecter les régressions. Il est idéal pour découvrir des dépendances vulnérables, des secrets codés en dur, des modèles de code non sécurisés et des dangers d'exécution spécifiques aux hooks dans les gestionnaires OpenClaw.
Support inféré : agents et CLI capables d'exécuter des outils de sous-processus (flux de travail basés sur Node.js/python), par exemple le gateway OpenClaw, les runtimes d'agents basés sur Node et les environnements CI.
ClawSec Scanner est un scanner de vulnérabilités multi-moteurs complet pour les plateformes d'agents, couvrant le scan de dépendances (npm audit, pip-audit), la recherche dans les bases de données CVE (OSV, NVD, GitHub Advisory), le SAST (Semgrep, Bandit) et l'inspection des hooks DAST spécifiques aux agents. Les scripts sont bien structurés avec une gestion d'erreurs appropriée et une conception fail-open. Le fichier runner.sh nécessite l'option --target qui n'a pas été fournie lors du test à blanc, et les scripts .mjs ont été ignorés par le testeur. La compétence présente des pratiques de sécurité impressionnantes, notamment des versions vérifiées par checksum et des tableaux d'arguments de sous-processus empêchant l'injection.
Scanner de sécurité bien conçu avec une sécurité des sous-processus appropriée (tableaux spawn, pas d'injection shell), sans secrets codés en dur, sans télémétrie. Le script d'installation inclut la vérification du checksum signé PGP. Le module DAST effectue uniquement une inspection statique des sources des hooks (lecture de fichiers, pas d'exécution). La philosophie fail-open signifie que les outils manquants sont ignorés gracieusement. La requête GitHub Advisory est un stub. La variable d'environnement CLAWSEC_ALLOW_UNSIGNED_FEED est documentée comme étant réservée au développement.
Claw Release
Automatisation des versions pour les compétences OpenClaw : incrémentation de version, marquage (tagging), packaging et vérification CI pour les sorties de compétences.
Hermes Attestation Guardian
Générez des attestations d'exécution déterministes et effectuez une détection de dérive avec fermeture sécurisée (fail-closed) pour l'infrastructure gérée par Hermes.