Claw Patrol - Sicherheits-Firewall für Agenten

xguru · 2026-05-31T09:31:01+09:00

Eine Sicherheits-Firewall für Agenten, mit der man Agenten beruhigt Produktionszugriff geben kann: Sie verwahrt Agenten-Credentials stellvertretend, parst Traffic auf Wire-Ebene und gateet alle Aktionen mit benutzerdefinierten Regeln Eine Action-Control-Layer, die die Grenzen bestehender Berechtigungssysteme ergänzt OAuth-Scopes, IAM-Rollen und k8s RBAC entscheiden nur darüber, „worauf zugegriffen werden kann“ – ein Agent mit Postgres-Zugriff kann DROP TABLE genauso leicht ausführen wie SELECT Wird ein Agent durch Prompt Injection kompromittiert, werden auch seine Credentials mit offengelegt → Schlüssel werden an einem Ort aufbewahrt, den der Agent niemals sehen kann Ein vollständiges Audit-Log für Agentenarbeit, die sich fächerförmig über Postgres, Kubernetes, GitHub, Slack usw. ausbreitet, zentral an einem Ort Verbindung über WireGuard oder Tailscale, ohne Änderungen am Agenten selbst — Gateway-Beitritt mit clawpatrol join, Ausführung mit clawpatrol run codex Die Rule Engine prüft alle ausgehenden Requests, bevor sie ihr Ziel erreichen; sie matched nicht nur auf URLs, sondern auf Ebene von HTTP-Methoden, SQL-Verben, k8s-Ressourcen und Plugin-Facets; speichert man Regeln im Dashboard, werden sie ab dem nächsten Request hot reloaded HTTP: Routing nach Matching von Methode, Pfad, Headern und Body an einen LLM-Judge möglich (z. B. Blockieren von aggressiven Inhalten, fehlenden Grußformeln oder ungeeignetem Markdown in Kundensupport-Antworten) SQL: Parst Postgres- und ClickHouse-Traffic auf Verb-Ebene, Matching nach Funktionsnamen, Tabellen und Teilstrings in Syntaxelementen (z. B. Blockieren von Dateisystemzugriffs-Funktionen wie pg_read_file oder dblink_*) Kubernetes: Matching nach Namespace, Ressource, Verb und Name; der LLM-Judge liest die Kommando-argv von kubectl exec und erlaubt ls/ps/df, lehnt aber Env-Dumps und den Zugriff auf Pod-Token ab Bietet Approval Flows für mehrdeutige Requests LLM-Judge (require_llm): Ein Modell mit Custom Prompt stimmt über jeden Request ab; Entscheidungen werden gecacht, um erneute Abrechnung zu vermeiden (z. B. Ablehnung von SELECT auf Secret-Spalten mit claude-haiku-4-5) Human In The Loop (require_human): Menschen stimmen über Slack, das Dashboard oder einen eigenen Webhook ab; wenn niemand antwortet, wird nach Timeout automatisch abgelehnt Unterstützt Regressionstests vor dem Deployment – echte Aktionen können im Dashboard aufgezeichnet und als JSON-Fixture gespeichert werden; läuft in CI clawpatrol test, geben Policy-Änderungen bei umgekehrten Entscheidungen einen Diff aus und lassen den Build fehlschlagen Läuft als einzelnes Binary; ohne Gateway, DB oder Auth wird HCL geladen, Fixtures werden in die Rule Engine eingespielt und Übereinstimmung der Entscheidungen wird geprüft Abgrenzung zu anderen Tools — die meisten decken nur eine Seite ab, Claw Patrol deckt alle vier ab Watch LLM calls (Helicone, Portkey, LiteLLM, NeMo Guardrails, Lakera Guard usw.): Das Verhalten des Agenten nach der LLM-Antwort bleibt unsichtbar Watch tool calls (Crab Trap, httpjail, proxyline usw.): Unterstützen nur HTTP; Postgres, k8s und SSH umgehen das Sandbox the process (NVIDIA OpenShell, agentsh): Beschränkt nur, was berührt werden kann, beurteilt aber nicht die Angemessenheit einzelner Aktionen Hold the keys (Agent Vault, Clawvisor): Secrets liegen extern, aber der eigentliche Request-Inhalt wird durchgelassen Claw Patrol bietet gleichzeitig Überwachung von Tool-Calls auf Protokollebene, Secret-Verwahrung, Routing riskanter Aufrufe an menschliche/LLM-Judges und vollständige Aufzeichnung aller Bytes Die Demo unter demo.clawpatrol.dev erlaubt einen direkten Walkthrough durch die Operator-UI; per Drilldown auf Request-Ebene lässt sich einsehen, was das Gateway erfasst hat Unterstützte Ziele: Postgres, ClickHouse, Kubernetes, AWS, GCP, GitHub, Slack, Vultr und weitere Produktionssysteme / wichtige Agenten wie Claude, Codex, OpenClaw Installation mit einer Zeile: curl -fsSL https://clawpatrol.dev/install.sh | sh, GitHub denoland/clawpatrol MIT-lizenziertes Open Source

(clawpatrol.dev)

2 Punkte von xguru 3 시간 전 | Noch keine Kommentare. | Auf WhatsApp teilen

Eine Sicherheits-Firewall für Agenten, mit der man Agenten beruhigt Produktionszugriff geben kann: Sie verwahrt Agenten-Credentials stellvertretend, parst Traffic auf Wire-Ebene und gateet alle Aktionen mit benutzerdefinierten Regeln
Eine Action-Control-Layer, die die Grenzen bestehender Berechtigungssysteme ergänzt
- OAuth-Scopes, IAM-Rollen und k8s RBAC entscheiden nur darüber, „worauf zugegriffen werden kann“ – ein Agent mit Postgres-Zugriff kann DROP TABLE genauso leicht ausführen wie SELECT
- Wird ein Agent durch Prompt Injection kompromittiert, werden auch seine Credentials mit offengelegt → Schlüssel werden an einem Ort aufbewahrt, den der Agent niemals sehen kann
- Ein vollständiges Audit-Log für Agentenarbeit, die sich fächerförmig über Postgres, Kubernetes, GitHub, Slack usw. ausbreitet, zentral an einem Ort
Verbindung über WireGuard oder Tailscale, ohne Änderungen am Agenten selbst — Gateway-Beitritt mit clawpatrol join, Ausführung mit clawpatrol run codex
Die Rule Engine prüft alle ausgehenden Requests, bevor sie ihr Ziel erreichen; sie matched nicht nur auf URLs, sondern auf Ebene von HTTP-Methoden, SQL-Verben, k8s-Ressourcen und Plugin-Facets; speichert man Regeln im Dashboard, werden sie ab dem nächsten Request hot reloaded
- HTTP: Routing nach Matching von Methode, Pfad, Headern und Body an einen LLM-Judge möglich (z. B. Blockieren von aggressiven Inhalten, fehlenden Grußformeln oder ungeeignetem Markdown in Kundensupport-Antworten)
- SQL: Parst Postgres- und ClickHouse-Traffic auf Verb-Ebene, Matching nach Funktionsnamen, Tabellen und Teilstrings in Syntaxelementen (z. B. Blockieren von Dateisystemzugriffs-Funktionen wie pg_read_file oder dblink_*)
- Kubernetes: Matching nach Namespace, Ressource, Verb und Name; der LLM-Judge liest die Kommando-argv von kubectl exec und erlaubt ls/ps/df, lehnt aber Env-Dumps und den Zugriff auf Pod-Token ab
Bietet Approval Flows für mehrdeutige Requests
- LLM-Judge (require_llm): Ein Modell mit Custom Prompt stimmt über jeden Request ab; Entscheidungen werden gecacht, um erneute Abrechnung zu vermeiden (z. B. Ablehnung von SELECT auf Secret-Spalten mit claude-haiku-4-5)
- Human In The Loop (require_human): Menschen stimmen über Slack, das Dashboard oder einen eigenen Webhook ab; wenn niemand antwortet, wird nach Timeout automatisch abgelehnt
Unterstützt Regressionstests vor dem Deployment – echte Aktionen können im Dashboard aufgezeichnet und als JSON-Fixture gespeichert werden; läuft in CI clawpatrol test, geben Policy-Änderungen bei umgekehrten Entscheidungen einen Diff aus und lassen den Build fehlschlagen
Läuft als einzelnes Binary; ohne Gateway, DB oder Auth wird HCL geladen, Fixtures werden in die Rule Engine eingespielt und Übereinstimmung der Entscheidungen wird geprüft
Abgrenzung zu anderen Tools — die meisten decken nur eine Seite ab, Claw Patrol deckt alle vier ab
- Watch LLM calls (Helicone, Portkey, LiteLLM, NeMo Guardrails, Lakera Guard usw.): Das Verhalten des Agenten nach der LLM-Antwort bleibt unsichtbar
- Watch tool calls (Crab Trap, httpjail, proxyline usw.): Unterstützen nur HTTP; Postgres, k8s und SSH umgehen das
- Sandbox the process (NVIDIA OpenShell, agentsh): Beschränkt nur, was berührt werden kann, beurteilt aber nicht die Angemessenheit einzelner Aktionen
- Hold the keys (Agent Vault, Clawvisor): Secrets liegen extern, aber der eigentliche Request-Inhalt wird durchgelassen
- Claw Patrol bietet gleichzeitig Überwachung von Tool-Calls auf Protokollebene, Secret-Verwahrung, Routing riskanter Aufrufe an menschliche/LLM-Judges und vollständige Aufzeichnung aller Bytes
Die Demo unter demo.clawpatrol.dev erlaubt einen direkten Walkthrough durch die Operator-UI; per Drilldown auf Request-Ebene lässt sich einsehen, was das Gateway erfasst hat
Unterstützte Ziele: Postgres, ClickHouse, Kubernetes, AWS, GCP, GitHub, Slack, Vultr und weitere Produktionssysteme / wichtige Agenten wie Claude, Codex, OpenClaw
Installation mit einer Zeile: curl -fsSL https://clawpatrol.dev/install.sh | sh, GitHub denoland/clawpatrol
MIT-lizenziertes Open Source

Möchten Sie weitere kuratierte Tech-Themen erhalten? Folgen Sie dem Telegram-Kanal. @GeekNewsDE

Claw Patrol - Sicherheits-Firewall für Agenten

Verwandte Beiträge

Noch keine Kommentare.