Hermes Attestation Guardian

Score de confiance 83/100

Générez des attestations d'exécution déterministes et effectuez une détection de dérive avec fermeture sécurisée (fail-closed) pour l'infrastructure gérée par Hermes.

déclencheurs:generate attestationverify attestationdrift detectionverify release checksumsguarded_skill_verify

GitHub SKILL.md

Ce qu'elle fait

Génère des attestations de posture Hermes déterministes, les vérifie avec des contrôles d'intégrité fail-closed, et compare l'état actuel aux lignes de base authentifiées pour détecter la dérive. Elle fournit des commandes orientées opérateur pour générer, vérifier et actualiser les flux d'avis, et inclut des portes de vérification gardées pour empêcher l'installation de versions de compétences non approuvées.

Quand l'utiliser

Utilisez cette compétence lorsque vous exploitez des passerelles gérées par Hermes ou des environnements d'exécution d'agents et que vous avez besoin d'une assurance cryptographique de la posture d'exécution, de l'authenticité de la version ou de la détection de dérive de la ligne de base. Idéal pour les opérateurs qui doivent imposer l'installation de versions signées et un suivi automatisé basé sur l'attestation.

Ce qui est inclus

Scripts : plusieurs utilitaires scripts/*.mjs pour generate_attestation, verify_attestation, refresh_advisory_feed, check_advisories, guarded_skill_verify, et des aides au planificateur (has_scripts=true)
Références : aucune incluse dans SKILL.md (has_references=false)
Instructions : porte de vérification étape par étape pour les artefacts de version, exemples de commandes pour la génération et la vérification, et notes opérationnelles sur le comportement fail-closed et l'intégration au planificateur.

Agents compatibles

Compatible avec les chaînes d'outils d'opérateur Hermes/NanoClaw/OpenClaw ; nécessite un environnement d'exécution node pour les scripts. Elle est orientée opérateur et n'est pas un crochet d'exécution pour les agents OpenClaw.

Étiquettes

#security #attestation #drift-detection #hermes #operator-tools #integrity #advisory-feed #verification #node-scripts

Scripts exécutés dans un bac à sableExécution échouéeAudité le May 15, 2026

Résumé de l'audit

Hermes Attestation Guardian génère des attestations de sécurité d'exécution déterministes et effectue une détection de dérive à fermeture automatique (fail-closed) pour l'infrastructure gérée par Hermes. Il comprend 7 scripts .mjs bien structurés pour la génération/vérification d'attestations, la gestion des flux d'avis et la planification cron. Les scripts ont été ignorés par l'exécuteur (extension .mjs non supportée) mais l'analyse statique montre une posture de sécurité solide avec des valeurs par défaut fail-closed, une validation d'entrée appropriée, des écritures de fichiers atomiques et une vérification de signature. L'offuscation de la variable SCHEDULE_BIN (jointure de 'cron' et 'tab') est un choix stylistique étrange mais non malveillant.

Points d'attention

Nécessite un runtime Node.js pour les scripts .mjs
Nécessite l'infrastructure Hermes (~/.hermes/) pour être utile
SCHEDULE_BIN utilise une chaîne 'crontab' offusquée via array join
Un contournement --allow-unsigned existe mais est clairement documenté comme étant réservé aux urgences

Dépendances manquantes

node (for .mjs scripts)

Notes

Compétence de sécurité bien conçue avec des valeurs par défaut fail-closed, une vérification de signature appropriée et une documentation approfondie. Utilité restreinte en raison du périmètre spécifique à Hermes. La vérification des artefacts de version dans SKILL.md est une touche de sécurité appréciable. Les scripts n'ont pas pu être exécutés car l'extension .mjs n'est pas supportée par run_scripts.py.

Informations

Dépôt: clawsec
Étoiles: 991
Installations: 0

Score de confiance

Global83

Sécurité85

Qualité du code82

Architecture80

Utilité45

Plus de clawsec

Claw Release

Automatisation des versions pour les compétences OpenClaw : incrémentation de version, marquage (tagging), packaging et vérification CI pour les sorties de compétences.

ClawSec Scanner

Scanner de vulnérabilités automatisé multi-moteurs pour les plateformes d'agents, effectuant des analyses de dépendances, du SAST, l'enrichissement CVE et des harnais DAST spécifiques aux agents.

Compétences similaires

Monad Development

Practical developer skill for deploying and verifying smart contracts, configuring Foundry projects, and integrating frontends (viem/wagmi) on the Monad blockch

Reverse Engineer

Provides step-by-step guidance and best practices for binary reverse engineering: static analysis, dynamic tracing, disassembly, and documentation workflows for

Sandbox0 Integration

Guidance and templates for integrating Sandbox0 sandboxing into AI agents — CLI/SDK patterns, templates, volumes, network policy, and deployment choices.

CTF Write-up Generator

Generate a concise, reproducible submission-style CTF writeup with a one-path solution script, metadata, and a short checklist for fast verification.

Azure External Attack Surface Management

Provides expert guidance for Azure External Attack Surface Management (EASM): quotas, configuration, integrations, and exporting inventory to analytics platform

Node.js Best Practices

Guidelines and decision-making for Node.js architecture, runtime, async patterns, security, validation, and testing to inform framework and system choices.

radar — Smart Contract AST & Security Analysis

Multi-framework AST generator and static analysis tool for smart contracts (Rust/Anchor/Stylus and Solidity/Foundry) with a template DSL for writing detection r

Bash Pro

Defensive, production-grade Bash scripting patterns and CI/CD best practices: strict mode, safe argument parsing, testing with Bats, and tooling (ShellCheck/shf

Retour aux compétences