Was ist enclawed und in welchem Verhältnis steht es zu OpenClaw?

enclawed ist der sicherheitsgehärtete Fork von OpenClaw, dem vorgelagerten Gateway für persönliche und agentenbasierte KI. Es liefert den gesamten vorgelagerten OpenClaw-Erweiterungskatalog aus (Kanäle, Modellanbieter, Tool-Plugins), lädt aber standardmäßig jedes Plugin durch ein gehärtetes Zulassungstor, ein hashverkettetes Audit-Protokoll, eine zweischichtige Egress-Allowlist, einen DLP-Scanner und einen strukturellen Prompt-Schild. Das MIT-lizenzierte enclawed-oss ist das quelloffene Fundament; enclawed-enclaved ist die proprietäre kommerzielle Schicht darüber, mit Kryptografie, die an das FIPS 140-3-validierte Modul des Hosts gebunden ist.

Ist enclawed ein nahtloser Ersatz für OpenClaw?

Ja. Der CLI-Befehl, die Konfigurationsschlüssel, das Plugin-Layout und der vorgelagerte Erweiterungskatalog bleiben alle erhalten. Der Umstieg von OpenClaw auf enclawed-oss ist ein Austausch, keine Neuentwicklung. Ihre bestehenden Agenten, Kanäle, Modellanbieter und Tools kommen mit — umgeben von Capability-Deklaration, signierten Manifesten, hashverkettetem Audit, zweischichtiger Egress-Allowlist, DLP-Scanning und einem strukturellen Prompt-Schild.

Warum sollte ich von OpenClaw auf enclawed wechseln?

Wir belegen das empirisch mit drei ineinander verschachtelten Beweisschichten: einem Template-Baseline-Lauf mit 1600 Proben (100 legitime + 100 adversariale je Fehlermodus F1-F4 über zwei reale Cloud-Kanäle), einer Stress-Erweiterung mit 80.000 Proben bei n=10.000 pro Zelle und einem Cross-Model-Generalisierungslauf über zehn LLMs, der dieselbe Aufgabe mit adversarialen Inhalten erneut ausführt, die von zehn verschiedenen produktiven LLMs verfasst wurden (Gemini 2.5 Flash, Groq GPT-OSS-120B, Groq Llama 3.3 70B, Groq Llama 4 Scout 17B, OpenRouter Llama 3.1 70B sowie Ollama Gemma2 9B / Llama 3.1 8B / Llama 3.2 3B / Mistral 7B / Qwen 2.5 7B). Über alle drei Schichten erreicht das vorgelagerte OpenClaw einen Recall = 0,000 in jeder F1-F4-Zelle jeder Konfusionsmatrix; enclawed-oss und enclawed-enclaved erreichen beide Precision = Recall = F1 = Accuracy = 1,000 auf der In-Distribution-Baseline und im Stresstest sowie Recall = 1,000 bei jedem kooperierenden LLM im Cross-LLM-Lauf. Das Framework gibt darüber hinaus den vollständigen NIST-OSCAL-1.2.2-FedRAMP-Einreichungssatz aus — Component Definition, Assessment Results, System Security Plan-Vorlage und Plan of Action and Milestones — schemavalidiert, Ed25519-signiert und direkt in das GRC-Tooling eines Bereitstellers importierbar, ohne manuelles Rekeying. Jedes OpenClaw-Plugin ist über enclawed-oss geladen substanziell sicherer, weil es eine Deny-by-Default-Richtlinie, ein manipulationssicheres Audit, allowlist-gesteuerten Egress, strukturelle Bereinigung gegen Prompt Injection und eine bidirektionale Laufzeit-Zulassung für jede Erweiterung mit Netzwerkbedarf erbt. Keine dieser Eigenschaften gilt beim vorgelagerten OpenClaw ohne aktive Zustimmung des Betreibers. Die MIT-Lizenz, die unveränderte Oberfläche und die kostenlose Verfügbarkeit bedeuten: Sobald ein vergleichbarer gehärteter Fork existiert, gibt es keinen geschäftlichen Grund mehr, beim vorgelagerten OpenClaw zu bleiben.

Ist enclawed sicher für OpenClaw-Agenten, die an reale Geräte angebunden sind (Roboter, 3D-Drucker, Fahrzeugsteuerungen)?

Die freizügigen Standardeinstellungen von OpenClaw sind in dem Moment nicht mehr vertretbar, in dem ein Agent an einen Aktuator angebunden wird. Prompt Injection, halluzinierte Tool-Aufrufe, kompromittierte Drittanbieter-Module und unbegrenzter Egress hören in dem Moment auf, akademisch zu sein, in dem die Schleife ein physisches Gerät erreicht. enclawed-oss schließt diese Lücke, bevor der Agent den Aktuator erreicht, und ist die empfohlene Wahl für jede gerätegesteuerte OpenClaw-Bereitstellung.

Benötigt enclawed-enclaved ein eigenes FIPS 140-3-Zertifikat?

Nein. enclawed implementiert keine eigenen kryptografischen Primitive — jede kryptografische Operation verwendet FIPS-zugelassene Algorithmen (AES-256-GCM, SHA-256, Ed25519, scrypt), die vom FIPS 140-3-validierten kryptografischen Modul des Hosts ausgeführt werden, etwa dem OpenSSL-FIPS-Provider. Im zugelassenen Modus auf einem validierten Host bereitgestellt, erbt die Kryptografie von enclawed die Validierung dieses Moduls; es gibt kein separates enclawed-Modul zum Einreichen oder Zertifizieren, und keines ist erforderlich. Das ist die übliche, anerkannte Haltung für Software auf Anwendungsebene unter FedRAMP, CMMC und HIPAA.

Wie verhalten sich enclawed-oss und enclawed-enclaved zueinander?

enclawed-oss ist ein MIT-lizenzierter Hard-Fork von OpenClaw mit Sicherheitsfunktionen. enclawed-enclaved ist die proprietäre Schicht darüber, die Kryptografie gebunden an das FIPS 140-3-validierte Modul des Hosts, Multi-Witness-Akkreditierung und die vollständige OSCAL-Einreichungsdokumentation ergänzt.

Welche Branchen bedient enclawed?

Bundesbehörden und DoD, Finanzdienstleistungen, Gesundheitswesen, Betreiber von KI/LLM-Plattformen, kritische Infrastruktur sowie Cloud/DevSecOps-SaaS, die in regulierte Branchen expandieren. Für jede Branche steht ein eigenes Whitepaper zum direkten Download bereit.

Wie kann ich das Produkt evaluieren?

Schreiben Sie an alfredo.metere@enclawed.com. Die Whitepaper lassen sich auf dieser Website direkt und ohne Formular-Hürde herunterladen. Die öffentliche Roadmap und die vollständige Abbildung auf NIST-800-53-Controls sind nach einem kurzen Kennenlerngespräch auf Anfrage verfügbar.

enclawed — Deterministisch abgesicherte KI-Agenten

Wo die Sicherheit sitzt

Dieselbe Agentenschleife. Drei Laufzeitumgebungen. Nur eine ist von Anfang bis Ende abgesichert.

Jeder Agent durchläuft dieselben vier Schritte — Lesen → Denken → Handeln → Melden. Was sich unterscheidet, sind die Kontrollpunkte zwischen den Schritten. Das pure OpenClaw hat keine. NeMo Guardrails fügt zwei Textfilter hinzu. enclawed kontrolliert jeden Übergang und verankert die gesamte Schleife auf einem manipulationssicheren Audit-Protokoll und einem Akkreditor zur Startzeit. Fahren Sie mit der Maus über einen Block.

OpenClaw

5 / 5 Fehlermodi offen

NeMo Guardrails

nur Inhalts-Rails

enclawed

0 / 5 Fehlermodi offen

Das ganze Feld, eine Tabelle

Kein weiteres Guardrail — die einzige vollständige Lösung

Guardrails filtern Wörter. Prompt-Injection-Firewalls prüfen Eingaben. Nützlich — aber keine davon kontrolliert die Tools, die ein Agent aufruft, beweist sein Tun in einer Aufzeichnung, die sich nicht bearbeiten lässt, oder liefert den Compliance-Beweis, den Ihr Prüfer stichprobenartig kontrolliert. Mit heutigem Stand ist enclawed-enclaved das einzige Produkt, das all das leistet.

Kann es…	Pure Laufzeit OpenClaw, LangChain	Inhalts-Guardrails NeMo, Guardrails AI	Prompt-Firewalls Lakera, Rebuff	`enclawed` -enclaved
Prompt Injection über Text, Bilder & Audio blockieren	✗	~	~	✓
Kontrollieren, welche Tools & Plugins ein Agent aufrufen darf	✗	✗	✗	✓
Netzwerk-Egress per Allowlist regeln & Exfiltration stoppen (DLP)	✗	✗	~	✓
Ein manipulationssicheres, hashverkettetes Audit-Protokoll führen	✗	✗	✗	✓
Die eigene Integrität beim Start prüfen (Zero-Trust-Akkreditor)	✗	✗	✗	✓
Zugriffskontrolle über mehrere Stufen durchsetzen (Bell-LaPadula)	✗	✗	✗	✓
Auf einer FIPS-zugelassenen kryptografischen Grenze laufen^*	✗	✗	✗	✓
Maschinenlesbaren Audit-Beweis liefern (NIST OSCAL, 800-53)	✗	✗	✗	✓
F1–F4-Erkennung = 1.000 nachweisen, von Ihnen reproduzierbar	✗	✗	✗	✓

✓ vollständig · ~ teilweise / nur Textkanal · ✗ keine. Spiegelt den dokumentierten Standard-Umfang jeder Kategorie mit Stand Mai 2026 wider; einzelne Produkte unterscheiden sich und entwickeln sich weiter — Korrekturen willkommen unter security@enclawed.com.
^*FIPS-zugelassene Algorithmen (AES-256-GCM, SHA-256, Ed25519, scrypt), ausgeführt vom FIPS 140-3-validierten Modul des Hosts im zugelassenen Modus — Validierung von diesem Modul geerbt; kein separates enclawed-Zertifikat erforderlich.

In Aktion sehen — 13-Sekunden-Demo →

Beweise statt Versprechen

Wir haben es gemessen — das sind die Ergebnisse

Dieselben Agenten, dieselben Tools. enclawed prüft jede Aktion bevor sie geschieht und zeichnet sie so auf, dass sie sich nicht fälschen oder löschen lässt. Wir haben es gegen die populäre Laufzeitumgebung gemessen, in‑vivo, über die jeweils echte Kommandozeile.

Kann es… stoppen?	keine Aufzeichnung	eine gefälschte Aufzeichnung	ein stiller Fehler	das falsche Ziel
OpenClaw (populäre Laufzeit)	✗	✗	✗	✗
`enclawed`	✓	✓	✓	✓

Gemessene Erkennung: OpenClaw fing 0.000 ab; enclawed 1.000 — auf einer Baseline mit 1.600 Proben, gehalten bei 80.000 Proben und über 10 produktive LLMs hinweg.

Diese vier werden durch eine einzige Innovation geschlossen — ein bidirektionales Korrektheitskriterium, das jede Aktion an die Aufzeichnung bindet. enclawed schließt mehr als diese vier, mit weiteren eigenen Innovationen — einem Egress-Monitor für verdeckte Kanäle, attestierter Tool-Server-Zulassung und formaler Skill-Verifikation. Die vollständige Arbeit findet sich in der Forschung.

Vertrauen Sie uns nicht — führen Sie es selbst aus. Klonen Sie den offenen Kern und führen Sie den Test selbst aus:

node --test enclawed/test/paper-conformance.test.mjs

Als es moltbook erreichte, versuchten ~180 KI-Agenten 48 Stunden lang, Lücken hineinzubohren. Es gelang ihnen nicht. Forschung ansehen →

Abdeckung → Compliance

Wogegen Sie heute zertifizieren können

enclawed ist kein einzelner Trick. Über die Forschung hinweg schließt es die strukturellen Fehlermodi und treibt verdeckte Exfiltration auf null — und, das ist der Teil, der Sie tatsächlich in den Einsatz bringt, es liefert die Controls und den maschinenlesbaren Beweis, den ein Prüfer stichprobenartig kontrolliert. Restrisiken werden in einem signierten POA&M nachverfolgt, genau wie es jedes Framework erwartet.

Auf die Standards abgebildet

Die Frameworks, gegen die Sie heute zertifizieren

SOC 2, ISO 27001 — die Controls und der Beweis, den Ihr Prüfer stichprobenartig kontrolliert.
NIST 800-53 Rev 5 / 800-171, FedRAMP Moderate, CMMC L2 — der vollständige NIST-OSCAL-Satz (CD + AR + SSP + POA&M), auf Controls abgebildet.
HIPAA (45 CFR §164) — Deny-by-Default-Zugriff, Egress-Kontrolle und ein manipulationssicheres Audit-Protokoll.
FIPS 140-3 — die Kryptografie läuft auf dem validierten Modul des Hosts; im zugelassenen Modus bereitgestellt, wird diese Validierung geerbt (kein separates enclawed-Zertifikat erforderlich).

enclawed liefert die technischen Controls und den Beweis; die Zertifizierung gehört Ihrer Organisation. Jedes Restrisiko wird im signierten POA&M nachverfolgt — und taucht ein neues auf, messen wir es, schließen es und veröffentlichen es.

Auf null getrieben · Egress-Schicht

Verdeckte Exfiltration, messbar eliminiert

Textträger — Zero-Width- & Unicode-Tricks, Homoglyphen, Whitespace, base64-Blobs: Restkapazität auf null getrieben.
Bildträger — LSB-Pixel-Steganografie: null; mittlere Luminanz pro Bild auf eine gemessene Obergrenze beschränkt.
Audioträger — ultraschall & unterhalb der Wahrnehmung: null; Sonifikation im hörbaren Band beschränkt, ausgenommen nur für beim Start signierte Medien.

Multimodaler Egress-Referenzmonitor für verdeckte Kanäle (arXiv:2605.20734). Forschung ansehen →

Warum es für Sie zählt

Gebaut, um auszuliefern, was sonst nicht geht

Einen Agenten für eine regulierte oder sicherheitskritische Bereitstellung zu härten, ist keine schnelle Konfiguration. Von Grund auf gebaut, dauert es weit über ein Quartal — und für die schwierigsten Ziele ist es überhaupt nicht erreichbar. enclawed ist das Fundament, das solche Bereitstellungen möglich macht: Bis hierher zu kommen, hieß, den Stand der Technik in der KI-Cybersicherheit voranzutreiben, mit 6+ Forschungsarbeiten hinter der Struktur. Kein magischer Zeitplan — einfach ein System, das aus „würde nie ein Audit bestehen“ eines macht, das Sie bereitstellen und verteidigen können, mit dem Beweis in der Box.

Für Ihr Security- & Compliance-Team

Die Zertifizierungsschicht, auf der Ihr Audit aufsetzt

SOC 2, ISO 27001, FedRAMP, ein HIPAA-BAA, CMMC — diese zertifizieren Ihre Organisation, keine Bibliothek. enclawed-enclaved liefert die technischen Controls und den maschinenlesbaren Beweis, den Ihr Prüfer stichprobenartig kontrolliert, sodass der Controls-Arbeitsstrom nicht länger das ist, was das Programm blockiert (oder versenkt). Für die Kryptografie läuft enclawed auf dem FIPS 140-3-validierten Modul des Hosts — es gibt kein enclawed-spezifisches Krypto-Modul zu zertifizieren.

FIPS 140-3FIPS-validiertes ModulNIST 800-53 Rev 5NIST 800-171NIST OSCAL 1.2.2FedRAMP ModerateCMMC Level 2SOC 2 Type 1 / 2ISO 27001HIPAA / 45 CFR §164FFIECGLBANIS2EU CRAIEC 62443NIST 800-82Bell-LaPadulaMulti-Witness-Akkreditierung

Proprietär · enclawed-enclaved

FIPS 140-3-Kryptografie auf dem validierten Modul des Hosts — jede kryptografische Operation verwendet FIPS-zugelassene Algorithmen (AES-256-GCM, SHA-256, Ed25519, scrypt), ausgeführt vom CMVP-validierten Provider des Hosts im zugelassenen Modus. Die Validierung wird von diesem Modul geerbt; es gibt kein separates enclawed-Modul zu zertifizieren.
Zero-Trust-Akkreditor zur Startzeit — jede Erweiterung wird nur zugelassen, wenn ihr signiertes Manifest mit dem Vertrauensanker übereinstimmt; Manipulation nach der Initialisierung wird blockiert und auditiert.
Hashverkettetes, manipulationssicheres Audit-Protokoll + Multi-Witness-Akkreditierung — die Aufzeichnung lässt sich nicht neu schreiben, ohne die Kette bei der nächsten Verifikation zu brechen.
Bell-LaPadula-Zugriffskontrolle + zweischichtiger Egress-Schutz + DLP-Scanner — Deny-by-Default, Allowlist pro Route, Redaktion pro Nutzlast.
Multimodaler Egress-Referenzmonitor für verdeckte Kanäle — verdeckte Restkapazität über Text-, Bild- und Audiokanäle auf null getrieben (Paper: arXiv:2605.20734).
NIST-OSCAL-1.2.2-Einreichungssatz — Component Definition, Assessment Results, SSP-Vorlage und POA&M — schemavalidiert, Ed25519-signiert, in jedem Zyklus hashketten-auditiert, auf einer Abbildung auf NIST 800-53 Rev 5-Controls. Importiert in Ihren GRC-Stack; harmoniert mit Vanta / Drata / Secureframe.
Kontinuierliche Härtung, dokumentiertes Restrisiko — F1–F4 sind strukturell geschlossen; jeder neu aufgetauchte Fehlermodus wird gemessen, behoben und veröffentlicht, und jedes Restrisiko wird im signierten POA&M nachverfolgt. Wir behaupten nicht null Lücken — wir behaupten geschlossen-oder-nachverfolgt.

Forschung & Papers Offener Kern auf GitHub Open-Source-Tutorials Presse

Branchen-Briefings: Federal + DoD · Finanzwesen · Gesundheitswesen · KI-Plattformen · Kritische Infrastruktur · Cloud + DevSecOps

Sichern Sie Ihre Agenten ab.

Sagen Sie uns, worauf Ihre Agenten zugreifen und was Sie bestehen müssen. Jede Bereitstellung ist ein individuelles Engagement — wir skizzieren es gemeinsam mit Ihnen.

alfredo.metere@enclawed.com

Antwort innerhalb eines Werktags.

Bringen Sie Ihre KI-Agenten in Compliance. Endlich.