Claw Patrol - エージェント向けセキュリティファイアウォール

xguru · 2026-05-31T09:31:01+09:00

エージェントに本番環境へのアクセス権限を与えつつ安心して運用できるよう、エージェントの認証情報を代わりに保管し、トラフィックをワイヤレベルで解析し、ユーザーが作成したルールですべてのアクションをゲートするエージェント用セキュリティファイアウォール既存の権限体系の限界を補うアクション制御レイヤー OAuthスコープ、IAMロール、k8s RBACは「どこにアクセスできるか」しか決めない - Postgresに接続できるエージェントは、SELECTと同じくらい簡単にDROP TABLEを実行可能プロンプトインジェクションでエージェントが侵害されると、保持している認証情報も一緒に流出 → キーはエージェントが決して見られない場所に保管 Postgres・Kubernetes・GitHub・Slackなどへ扇状に広がるエージェント作業の完全な監査ログを一か所で提供 WireGuardまたはTailscaleで接続し、エージェント自体には変更不要 — clawpatrol joinでゲートウェイに参加し、clawpatrol run codexで実行ルールエンジンがすべてのアウトバウンドリクエストを宛先到達前に検査し、URLだけでなくHTTPメソッド・SQL動詞・k8sリソース・プラグインfacet単位でマッチング、ダッシュボードで保存すると次のリクエストからホットリロード HTTP: メソッド、パス、ヘッダー、本文をマッチングした後、LLM判定器(Judge)へルーティング可能 (例: カスタマーサポート回答で攻撃的コンテンツ・あいさつ欠落・不適切なMarkdownをブロック) SQL: Postgres・ClickHouseトラフィックを動詞単位で解析し、関数名・テーブル・構文部分文字列でマッチング (例: pg_read_file, dblink_*のようなファイルシステムアクセス関数をブロック) Kubernetes: ネームスペース・リソース・動詞・名前でマッチングし、kubectl execのコマンドargvをLLM判定器が読んでls/ps/dfは許可、envダンプ・Podトークンアクセスは拒否曖昧なリクエストに対する**承認フロー(Approval flows)**を提供 LLM判定器(Judge)(require_llm): カスタムプロンプトを持つモデルが各リクエストに投票し、判定はキャッシュされて再課金を防止 (例: claude-haiku-4-5でシークレット列のSELECTを拒否) Human In The Loop(require_human): Slack・ダッシュボード・独自webhookで人が投票し、応答者がいなければタイムアウト時に自動拒否デプロイ前の回帰テストをサポート - ダッシュボードで実際のアクションを録画してJSON fixtureとして保存し、CIでclawpatrol testを実行した際にポリシー変更で判定が反転するとdiffを出力してビルド失敗単一バイナリで動作し、ゲートウェイ・DB・認証なしでHCLをロードした後、fixtureをルールエンジンに再生して判定一致をアサート他ツールとの差別化点 — 多くは一面しか扱わないが、Claw Patrolは4つすべてをカバー Watch LLM calls (Helicone, Portkey, LiteLLM, NeMo Guardrails, Lakera Guardなど): LLM応答後のエージェント行動は視野外 Watch tool calls (Crab Trap, httpjail, proxylineなど): HTTPのみ対応で、Postgres・k8s・SSHは迂回される Sandbox the process (NVIDIA OpenShell, agentsh): 何に触れられるかだけを制限し、各アクションの妥当性は判断しない Hold the keys (Agent Vault, Clawvisor): シークレットは外部にあるが、リクエスト内容自体はそのまま通過 Claw Patrolは、プロトコルレイヤーでのツール呼び出し監視 + シークレット保管 + 危険な呼び出しを人/LLM判定器へルーティング + 全バイト記録を同時に提供デモはdemo.clawpatrol.devでオペレーターUIウォークスルーを直接体験可能で、リクエスト単位のドリルダウンによりゲートウェイキャプチャ内容を確認可能対応対象: Postgres, ClickHouse, Kubernetes, AWS, GCP, GitHub, Slack, Vultrなど多様な本番システム / Claude, Codex, OpenClawなど主要エージェントインストールはcurl -fsSL https://clawpatrol.dev/install.sh | shの1行、GitHub denoland/clawpatrol MITライセンスのオープンソース

(clawpatrol.dev)

2 ポイント投稿者 xguru 3 시간 전 | まだコメントはありません。 | WhatsAppで共有

エージェントに本番環境へのアクセス権限を与えつつ安心して運用できるよう、エージェントの認証情報を代わりに保管し、トラフィックをワイヤレベルで解析し、ユーザーが作成したルールですべてのアクションをゲートするエージェント用セキュリティファイアウォール
既存の権限体系の限界を補うアクション制御レイヤー
- OAuthスコープ、IAMロール、k8s RBACは「どこにアクセスできるか」しか決めない - Postgresに接続できるエージェントは、SELECTと同じくらい簡単にDROP TABLEを実行可能
- プロンプトインジェクションでエージェントが侵害されると、保持している認証情報も一緒に流出 → キーはエージェントが決して見られない場所に保管
- Postgres・Kubernetes・GitHub・Slackなどへ扇状に広がるエージェント作業の完全な監査ログを一か所で提供
WireGuardまたはTailscaleで接続し、エージェント自体には変更不要 — clawpatrol joinでゲートウェイに参加し、clawpatrol run codexで実行
ルールエンジンがすべてのアウトバウンドリクエストを宛先到達前に検査し、URLだけでなくHTTPメソッド・SQL動詞・k8sリソース・プラグインfacet単位でマッチング、ダッシュボードで保存すると次のリクエストからホットリロード
- HTTP: メソッド、パス、ヘッダー、本文をマッチングした後、LLM判定器(Judge)へルーティング可能 (例: カスタマーサポート回答で攻撃的コンテンツ・あいさつ欠落・不適切なMarkdownをブロック)
- SQL: Postgres・ClickHouseトラフィックを動詞単位で解析し、関数名・テーブル・構文部分文字列でマッチング (例: pg_read_file, dblink_*のようなファイルシステムアクセス関数をブロック)
- Kubernetes: ネームスペース・リソース・動詞・名前でマッチングし、kubectl execのコマンドargvをLLM判定器が読んでls/ps/dfは許可、envダンプ・Podトークンアクセスは拒否
曖昧なリクエストに対する**承認フロー(Approval flows)**を提供
- LLM判定器(Judge)(require_llm): カスタムプロンプトを持つモデルが各リクエストに投票し、判定はキャッシュされて再課金を防止 (例: claude-haiku-4-5でシークレット列のSELECTを拒否)
- Human In The Loop(require_human): Slack・ダッシュボード・独自webhookで人が投票し、応答者がいなければタイムアウト時に自動拒否
デプロイ前の回帰テストをサポート - ダッシュボードで実際のアクションを録画してJSON fixtureとして保存し、CIでclawpatrol testを実行した際にポリシー変更で判定が反転するとdiffを出力してビルド失敗
単一バイナリで動作し、ゲートウェイ・DB・認証なしでHCLをロードした後、fixtureをルールエンジンに再生して判定一致をアサート
他ツールとの差別化点 — 多くは一面しか扱わないが、Claw Patrolは4つすべてをカバー
- Watch LLM calls (Helicone, Portkey, LiteLLM, NeMo Guardrails, Lakera Guardなど): LLM応答後のエージェント行動は視野外
- Watch tool calls (Crab Trap, httpjail, proxylineなど): HTTPのみ対応で、Postgres・k8s・SSHは迂回される
- Sandbox the process (NVIDIA OpenShell, agentsh): 何に触れられるかだけを制限し、各アクションの妥当性は判断しない
- Hold the keys (Agent Vault, Clawvisor): シークレットは外部にあるが、リクエスト内容自体はそのまま通過
- Claw Patrolは、プロトコルレイヤーでのツール呼び出し監視 + シークレット保管 + 危険な呼び出しを人/LLM判定器へルーティング + 全バイト記録を同時に提供
デモはdemo.clawpatrol.devでオペレーターUIウォークスルーを直接体験可能で、リクエスト単位のドリルダウンによりゲートウェイキャプチャ内容を確認可能
対応対象: Postgres, ClickHouse, Kubernetes, AWS, GCP, GitHub, Slack, Vultrなど多様な本番システム / Claude, Codex, OpenClawなど主要エージェント
インストールはcurl -fsSL https://clawpatrol.dev/install.sh | shの1行、GitHub denoland/clawpatrol
MITライセンスのオープンソース

厳選された技術トピックを続けて受け取りたいですか？ Telegramチャンネルをフォローしてください。 @GeekNewsJP

Claw Patrol - エージェント向けセキュリティファイアウォール

関連記事

まだコメントはありません。