O que é o enclawed e qual a sua relação com o OpenClaw?

O enclawed é o fork reforçado em segurança do OpenClaw, o gateway de IA pessoal / IA agêntica a montante. Disponibiliza todo o catálogo de extensões do OpenClaw a montante (canais, fornecedores de modelos, plugins de ferramentas), mas carrega cada plugin através de um portão de admissão reforçado, de um registo de auditoria encadeado por hash, de uma allowlist de egresso de duas camadas, de um scanner DLP e de um escudo estrutural de prompts, por defeito. O enclawed-oss, com licença MIT, é a base de código aberto; o enclawed-enclaved é a camada comercial proprietária por cima, com a criptografia vinculada ao módulo validado FIPS 140-3 do anfitrião.

O enclawed é um substituto direto do OpenClaw?

Sim. O comando da CLI, as chaves de configuração, a estrutura de plugins e o catálogo de extensões a montante são todos preservados. Migrar do OpenClaw para o enclawed-oss é uma substituição, não uma reescrita. Os seus agentes, canais, fornecedores de modelos e ferramentas existentes vêm consigo, com declaração de capacidades, manifestos assinados, auditoria encadeada por hash, allowlist de egresso de duas camadas, análise DLP e um escudo estrutural de prompts à sua volta.

Porque devo mudar do OpenClaw para o enclawed?

Sustentamos isto empiricamente com três camadas aninhadas de evidência: uma execução de base por template com 1600 amostras (100 legítimas + 100 adversariais por modo de falha F1-F4 em dois canais de cloud reais), uma extensão de stress de 80.000 amostras com n=10.000 por célula, e uma execução de generalização entre dez LLM que repete a mesma tarefa com conteúdo adversarial criado por dez LLM de produção diferentes (Gemini 2.5 Flash, Groq GPT-OSS-120B, Groq Llama 3.3 70B, Groq Llama 4 Scout 17B, OpenRouter Llama 3.1 70B e Ollama Gemma2 9B / Llama 3.1 8B / Llama 3.2 3B / Mistral 7B / Qwen 2.5 7B). Nas três camadas, o OpenClaw a montante obtém recall = 0.000 em todas as células F1-F4 de todas as matrizes de confusão; o enclawed-oss e o enclawed-enclaved obtêm ambos precision = recall = F1 = accuracy = 1.000 na base in-distribution e no teste de stress, e recall = 1.000 em cada LLM cooperante na execução entre LLM. A framework emite ainda o conjunto completo de modelos de submissão FedRAMP NIST OSCAL 1.2.2 — Component Definition, Assessment Results, esboço do System Security Plan e Plan of Action and Milestones — validados por esquema, assinados com Ed25519 e importáveis diretamente para o tooling de GRC do implementador sem rekey manual. Cada plugin do OpenClaw fica materialmente mais seguro quando carregado através do enclawed-oss, porque herda uma política de negação por defeito, auditoria à prova de adulteração, egresso em allowlist, sanitização estrutural de injeção de prompts e admissão bicondicional em tempo de execução para qualquer extensão que necessite da rede. Nenhuma destas propriedades se verifica no OpenClaw a montante sem opt-in do operador. A licença MIT, a superfície inalterada e a disponibilidade sem custos significam que não existe justificação de negócio para permanecer no OpenClaw a montante quando já existe um fork reforçado comparável.

O enclawed é seguro para agentes do OpenClaw ligados a dispositivos do mundo real (robôs, impressoras 3D, controladores de veículos)?

As predefinições permissivas do OpenClaw deixam de ser defensáveis no momento em que um agente é ligado a um atuador. A injeção de prompts, as chamadas de ferramentas alucinadas, o comprometimento de módulos de terceiros e o egresso ilimitado deixam de ser académicos no momento em que o ciclo chega a um dispositivo físico. O enclawed-oss fecha essa lacuna antes de o agente chegar ao atuador e é a escolha recomendada para qualquer implementação de dispositivos conduzida pelo OpenClaw.

O enclawed-enclaved precisa do seu próprio certificado FIPS 140-3?

Não. O enclawed não implementa primitivas criptográficas próprias — cada operação criptográfica usa algoritmos aprovados pela FIPS (AES-256-GCM, SHA-256, Ed25519, scrypt) executados pelo módulo criptográfico validado FIPS 140-3 do anfitrião, como o fornecedor FIPS do OpenSSL. Implementado em modo aprovado num anfitrião validado, a criptografia do enclawed herda a validação desse módulo; não existe um módulo enclawed separado a submeter ou certificar, e nenhum é necessário. Esta é a postura padrão e aceite para software de camada de aplicação ao abrigo do FedRAMP, do CMMC e do HIPAA.

Qual é a relação entre o enclawed-oss e o enclawed-enclaved?

O enclawed-oss é um hard fork do OpenClaw com licença MIT e funcionalidades de segurança. O enclawed-enclaved é a camada proprietária por cima, que acrescenta criptografia vinculada ao módulo validado FIPS 140-3 do anfitrião, acreditação multitestemunha e toda a documentação de submissão OSCAL.

Que indústrias é que o enclawed serve?

Federal civil e DoD, serviços financeiros, saúde, operadores de plataformas de IA/LLM, infraestrutura crítica e SaaS de cloud/DevSecOps em expansão para setores regulados. Cada setor tem um whitepaper dedicado disponível para download direto.

Como posso avaliar o produto?

Envie um e-mail para alfredo.metere@enclawed.com. Os whitepapers estão disponíveis para download direto neste site, sem formulário a bloquear. O roteiro público e o mapeamento completo de controlos NIST 800-53 estão disponíveis mediante pedido após uma breve conversa introdutória.

enclawed — Agentes de IA deterministicamente seguros

Onde vive a segurança

O mesmo ciclo de agente. Três runtimes. Só um está seguro de ponta a ponta.

Cada agente executa os mesmos quatro passos — Ler → Pensar → Agir → Reportar. O que muda são os portões entre os passos. O OpenClaw simples não tem nenhum. O NeMo Guardrails acrescenta dois filtros de texto. O enclawed filtra cada transição e ancora todo o ciclo num registo de auditoria à prova de adulteração e num acreditador no arranque. Passe o cursor sobre qualquer bloco.

OpenClaw

5 / 5 modos de falha abertos

NeMo Guardrails

apenas rails de conteúdo

enclawed

0 / 5 modos de falha abertos

Todo o setor numa só tabela

Não é mais um guardrail — é a única solução completa

Os guardrails filtram palavras. As firewalls de injeção de prompts analisam entradas. São úteis — mas nenhum deles filtra as ferramentas que um agente chama, prova o que fez num registo que não pode ser editado, nem entrega a evidência de conformidade que o seu auditor amostra. À data de hoje, o enclawed-enclaved é o único produto que faz tudo isto.

Consegue…	Runtime simples OpenClaw, LangChain	Guardrails de conteúdo NeMo, Guardrails AI	Firewalls de prompts Lakera, Rebuff	`enclawed` -enclaved
Bloquear a injeção de prompts em texto, imagens e áudio	✗	~	~	✓
Filtrar que ferramentas e plugins um agente pode chamar	✗	✗	✗	✓
Colocar o egresso de rede em allowlist e travar a exfiltração (DLP)	✗	✗	~	✓
Manter um registo de auditoria encadeado por hash, à prova de adulteração	✗	✗	✗	✓
Verificar a sua própria integridade no arranque (acreditador zero-trust)	✗	✗	✗	✓
Impor controlo de acesso multinível (Bell-LaPadula)	✗	✗	✗	✓
Correr sobre uma fronteira criptográfica aprovada pela FIPS^*	✗	✗	✗	✓
Entregar evidência de auditoria legível por máquina (NIST OSCAL, 800-53)	✗	✗	✗	✓
Provar deteção F1–F4 = 1.000, reproduzível por si	✗	✗	✗	✓

✓ completo · ~ parcial / apenas canal de texto · ✗ nenhum. Reflete o âmbito predefinido documentado de cada categoria em maio de 2026; os produtos individuais variam e evoluem — correções são bem-vindas em security@enclawed.com.
^*Algoritmos aprovados pela FIPS (AES-256-GCM, SHA-256, Ed25519, scrypt) executados pelo módulo validado FIPS 140-3 do anfitrião em modo aprovado — validação herdada desse módulo; não é necessário um certificado enclawed separado.

Veja em ação — demo de 13 segundos →

Provas, não promessas

Medimo-lo — eis o que encontrámos

Os mesmos agentes, as mesmas ferramentas. O enclawed verifica cada ação antes de acontecer e regista-a para que não possa ser falsificada nem apagada. Medimo-lo contra o runtime popular, in‑vivo, através da linha de comandos real de cada um.

Consegue travar…	nenhum registo	um registo falsificado	uma falha silenciosa	o alvo errado
OpenClaw (runtime popular)	✗	✗	✗	✗
`enclawed`	✓	✓	✓	✓

Deteção medida: o OpenClaw apanhou 0.000; o enclawed 1.000 — numa base de 1.600 amostras, mantendo-se em 80.000 amostras e em 10 LLM de produção.

Esses quatro são fechados por uma única inovação — um critério de correção bicondicional que liga cada ação ao registo. O enclawed fecha mais do que estes quatro, com inovações próprias adicionais — um monitor de egresso de canal encoberto, admissão atestada de servidores de ferramentas e verificação formal de skills. O corpo completo do trabalho está na investigação.

Não confie em nós — execute. Clone o núcleo aberto e execute o teste você mesmo:

node --test enclawed/test/paper-conformance.test.mjs

Quando chegou ao moltbook, ~180 agentes de IA passaram 48 horas a tentar encontrar-lhe falhas. Não conseguiram. Veja a investigação →

Cobertura → conformidade

Aquilo contra o qual pode certificar, hoje

O enclawed não é um truque isolado. Ao longo da investigação fecha os modos de falha estruturais e leva a exfiltração oculta a zero — e, a parte que de facto o coloca em produção, entrega os controlos e a evidência legível por máquina que um avaliador amostra. Os residuais são acompanhados num POA&M assinado, exatamente como cada framework espera.

Mapeado aos standards

As frameworks contra as quais certifica, hoje

SOC 2, ISO 27001 — os controlos e a evidência que o seu avaliador amostra.
NIST 800-53 Rev 5 / 800-171, FedRAMP Moderate, CMMC L2 — o conjunto completo NIST OSCAL (CD + AR + SSP + POA&M), mapeado aos controlos.
HIPAA (45 CFR §164) — acesso por negação por defeito, controlo de egresso e um rasto de auditoria à prova de adulteração.
FIPS 140-3 — a criptografia corre no módulo validado do anfitrião; implemente em modo aprovado e essa validação é herdada (não é necessário um certificado enclawed separado).

O enclawed entrega os controlos técnicos e a evidência; a certificação é da sua organização. Cada residual é acompanhado no POA&M assinado — e, quando surge um novo, medimo-lo, fechamo-lo e publicamo-lo.

Levada a zero · camada de egresso

Exfiltração oculta, medida até desaparecer

Portadores de texto — truques de largura zero e Unicode, homóglifos, espaços em branco, blobs base64: capacidade residual levada a zero.
Portadores de imagem — esteganografia LSB em pixels: zero; luminância média por imagem limitada a um teto medido.
Portadores de áudio — ultrassónicos e subpercetuais: zero; sonificação em banda audível limitada, isenta apenas para média assinada no arranque.

Monitor de referência de egresso de canal encoberto multimodal (arXiv:2605.20734). Veja a investigação →

Porque é que isto lhe importa

Criado para colocar em produção aquilo que de outra forma não passaria

Reforçar um agente para uma implementação regulada ou crítica para a segurança não é uma configuração rápida. Feito de raiz, leva bem mais do que um trimestre — e, para os alvos mais difíceis, simplesmente não é alcançável. O enclawed é a fundação que torna essas implementações possíveis: chegar aqui exigiu avançar o estado da arte na cibersegurança de IA, com mais de 6 artigos de investigação por trás da estrutura. Sem cronologias mágicas — apenas um sistema que transforma o “nunca passaria numa auditoria” em algo que pode implementar e defender, com a evidência incluída.

Para a sua equipa de segurança e conformidade

A camada de certificação sobre a qual a sua auditoria assenta

SOC 2, ISO 27001, FedRAMP, um BAA HIPAA, CMMC — estes certificam a sua organização, não uma biblioteca. O enclawed-enclaved entrega os controlos técnicos e a evidência legível por máquina que o seu avaliador amostra, para que a frente de trabalho dos controlos deixe de ser aquilo que bloqueia (ou afunda) o programa. Quanto à criptografia, o enclawed corre no módulo validado FIPS 140-3 do anfitrião — não há um módulo criptográfico específico do enclawed a certificar.

FIPS 140-3Módulo validado pela FIPSNIST 800-53 Rev 5NIST 800-171NIST OSCAL 1.2.2FedRAMP ModerateCMMC Level 2SOC 2 Type 1 / 2ISO 27001HIPAA / 45 CFR §164FFIECGLBANIS2EU CRAIEC 62443NIST 800-82Bell-LaPadulaAcreditação multitestemunha

Proprietário · enclawed-enclaved

Criptografia FIPS 140-3 no módulo validado do anfitrião — cada operação criptográfica usa algoritmos aprovados pela FIPS (AES-256-GCM, SHA-256, Ed25519, scrypt) executados pelo fornecedor validado pelo CMVP do anfitrião em modo aprovado. A validação é herdada desse módulo; não há um módulo enclawed separado a certificar.
Acreditador zero-trust no arranque — cada extensão só é admitida se o seu manifesto assinado corresponder à raiz de confiança; a adulteração pós-inicialização é bloqueada e auditada.
Registo de auditoria encadeado por hash, à prova de adulteração + acreditação multitestemunha — o registo não pode ser reescrito sem quebrar a cadeia na verificação seguinte.
Controlo de acesso Bell-LaPadula + proteção de egresso de duas camadas + scanner DLP — negação por defeito, allowlist por rota, redação por payload.
Monitor de referência de egresso de canal encoberto multimodal — capacidade encoberta residual levada a zero nos canais de texto, imagem e áudio (artigo: arXiv:2605.20734).
Conjunto de submissão NIST OSCAL 1.2.2 — Component Definition, Assessment Results, esboço do SSP e POA&M — validados por esquema, assinados com Ed25519, auditados por cadeia de hash a cada ciclo, sobre um mapeamento de controlos NIST 800-53 Rev 5. Importam para a sua stack de GRC; integram-se com Vanta / Drata / Secureframe.
Reforço contínuo, risco residual documentado — F1–F4 são fechados estruturalmente; qualquer novo modo de falha que surja é medido, corrigido e publicado, e cada residual é acompanhado no POA&M assinado. Não afirmamos lacunas zero — afirmamos fechado-ou-acompanhado.

Investigação e artigos Núcleo aberto no GitHub Tutoriais de código aberto Imprensa

Briefings por indústria: Federal + DoD · Financeiro · Saúde · Plataformas de IA · Infraestrutura crítica · Cloud + DevSecOps

Proteja os seus agentes.

Diga-nos a que é que os seus agentes acedem e o que precisa de passar. Cada implementação é um compromisso à medida — vamos delineá-lo consigo.

alfredo.metere@enclawed.com

Respostas dentro de um dia útil.

Alcance a conformidade com os seus agentes de IA. Finalmente.