¿Qué es enclawed y cómo se relaciona con OpenClaw?

enclawed es el fork de OpenClaw endurecido en seguridad, el gateway de IA personal / IA agéntica original. Incluye todo el catálogo de extensiones de OpenClaw (canales, proveedores de modelos, plugins de herramientas), pero carga cada plugin a través de una compuerta de admisión endurecida, un registro de auditoría encadenado por hashes, una lista blanca de egreso de dos capas, un escáner DLP y un escudo estructural contra inyección de prompts, de forma predeterminada. enclawed-oss, con licencia MIT, es la base de código abierto; enclawed-enclaved es la capa comercial propietaria que se sitúa encima, con criptografía vinculada al módulo validado FIPS 140-3 del host.

¿Es enclawed un reemplazo directo de OpenClaw?

Sí. El comando de la CLI, las claves de configuración, la estructura de plugins y el catálogo de extensiones se conservan en su totalidad. Migrar de OpenClaw a enclawed-oss es una sustitución, no una reescritura. Tus agentes, canales, proveedores de modelos y herramientas existentes vienen contigo, con declaración de capacidades, manifiestos firmados, auditoría encadenada por hashes, lista blanca de egreso de dos capas, escaneo DLP y un escudo estructural contra inyección de prompts envueltos a su alrededor.

¿Por qué debería migrar de OpenClaw a enclawed?

Lo respaldamos empíricamente con tres capas anidadas de evidencia: una corrida de línea base con plantillas de 1600 muestras (100 legítimas + 100 adversarias por cada modo de fallo F1-F4 a través de dos canales en la nube reales), una extensión de estrés de 80.000 muestras con n=10.000 por celda, y una corrida de generalización entre diez LLM que repite la misma tarea con contenido adversario redactado por diez LLM de producción distintos (Gemini 2.5 Flash, Groq GPT-OSS-120B, Groq Llama 3.3 70B, Groq Llama 4 Scout 17B, OpenRouter Llama 3.1 70B y Ollama Gemma2 9B / Llama 3.1 8B / Llama 3.2 3B / Mistral 7B / Qwen 2.5 7B). En las tres capas, OpenClaw original obtiene recall = 0,000 en cada celda F1-F4 de cada matriz de confusión; enclawed-oss y enclawed-enclaved obtienen ambos precision = recall = F1 = accuracy = 1,000 en la línea base in-distribution y en la prueba de estrés, y recall = 1,000 en cada LLM cooperante de la corrida entre LLM. Además, el framework emite el conjunto completo de modelos de presentación FedRAMP NIST OSCAL 1.2.2 — Component Definition, Assessment Results, System Security Plan inicial y Plan of Action and Milestones — validados por esquema, firmados con Ed25519 e importables directamente en las herramientas GRC del implementador sin reintroducir claves manualmente. Cada plugin de OpenClaw es materialmente más seguro cuando se carga a través de enclawed-oss porque hereda una política de denegación por defecto, auditoría a prueba de manipulaciones, egreso en lista blanca, saneamiento estructural contra inyección de prompts y admisión bicondicional en tiempo de ejecución para cualquier extensión que necesite la red. Ninguna de esas propiedades se cumple en OpenClaw original sin que el operador opte explícitamente por ellas. La licencia MIT, la superficie inalterada y la disponibilidad sin coste hacen que no exista ningún argumento de negocio para permanecer en OpenClaw original una vez que existe un fork endurecido comparable.

¿Es enclawed seguro para agentes de OpenClaw conectados a dispositivos del mundo real (robots, impresoras 3D, controladores de vehículos)?

Los valores predeterminados permisivos de OpenClaw dejan de ser defendibles en el momento en que un agente se conecta a un actuador. La inyección de prompts, las llamadas a herramientas alucinadas, el compromiso de módulos de terceros y el egreso sin límites dejan de ser problemas académicos en cuanto el bucle alcanza un dispositivo físico. enclawed-oss cierra esa brecha antes de que el agente llegue al actuador y es la opción recomendada para cualquier despliegue en dispositivos gobernado por OpenClaw.

¿Necesita enclawed-enclaved su propio certificado FIPS 140-3?

No. enclawed no implementa ninguna primitiva criptográfica propia — cada operación criptográfica usa algoritmos aprobados por FIPS (AES-256-GCM, SHA-256, Ed25519, scrypt) ejecutados por el módulo criptográfico validado FIPS 140-3 del host, como el proveedor FIPS de OpenSSL. Desplegado en modo aprobado sobre un host validado, la criptografía de enclawed hereda la validación de ese módulo; no hay un módulo enclawed independiente que presentar o certificar, ni se requiere ninguno. Esta es la postura estándar y aceptada para el software de capa de aplicación bajo FedRAMP, CMMC y HIPAA.

¿Cuál es la relación entre enclawed-oss y enclawed-enclaved?

enclawed-oss es un hard fork de OpenClaw con licencia MIT y funciones de seguridad. enclawed-enclaved es la capa propietaria que se sitúa encima, añadiendo criptografía vinculada al módulo validado FIPS 140-3 del host, acreditación multitestigo y la documentación completa de presentación OSCAL.

¿A qué industrias sirve enclawed?

Federal civil y DoD, servicios financieros, sanidad, operadores de plataformas de IA/LLM, infraestructura crítica y SaaS de nube/DevSecOps que se expanden hacia sectores regulados. Cada sector cuenta con un whitepaper dedicado disponible para descarga directa.

¿Cómo puedo evaluar el producto?

Escribe a alfredo.metere@enclawed.com. Los whitepapers se descargan directamente en este sitio, sin formulario de por medio. La hoja de ruta pública y el mapeo completo de controles NIST 800-53 están disponibles bajo petición tras una breve conversación de presentación.

enclawed — Agentes de IA deterministamente seguros

Dónde vive la seguridad

El mismo bucle de agente. Tres runtimes. Solo uno está protegido de extremo a extremo.

Todos los agentes ejecutan los mismos cuatro pasos — Leer → Pensar → Actuar → Informar. Lo que cambia son las compuertas entre los pasos. OpenClaw sin modificar no tiene ninguna. NeMo Guardrails añade dos filtros de texto. enclawed controla cada transición y ancla todo el bucle en un registro de auditoría a prueba de manipulaciones y un acreditador en el arranque. Pasa el cursor sobre cualquier bloque.

OpenClaw

5 / 5 modos de fallo abiertos

NeMo Guardrails

solo rails de contenido

enclawed

0 / 5 modos de fallo abiertos

Todo el campo, una sola tabla

No es otro guardrail — es la única solución completa

Los guardrails filtran palabras. Los firewalls de prompts escanean entradas. Útil — pero ninguno controla las herramientas que un agente llama, prueba lo que hizo en un registro que no puede editarse, ni entrega la evidencia de cumplimiento que tu auditor muestrea. A día de hoy, enclawed-enclaved es el único producto que hace todo ello.

¿Puede…	Runtime sin modificar OpenClaw, LangChain	Guardrails de contenido NeMo, Guardrails AI	Firewalls de prompts Lakera, Rebuff	`enclawed` -enclaved
¿Bloquear la inyección de prompts en texto, imágenes y audio?	✗	~	~	✓
¿Controlar qué herramientas y plugins puede llamar un agente?	✗	✗	✗	✓
¿Poner en lista blanca el egreso de red y detener la exfiltración (DLP)?	✗	✗	~	✓
¿Mantener un registro de auditoría a prueba de manipulaciones, encadenado por hashes?	✗	✗	✗	✓
¿Verificar su propia integridad en el arranque (acreditador de confianza cero)?	✗	✗	✗	✓
¿Aplicar control de acceso multinivel (Bell-LaPadula)?	✗	✗	✗	✓
¿Ejecutarse sobre una frontera criptográfica aprobada por FIPS^*?	✗	✗	✗	✓
¿Entregar evidencia de auditoría legible por máquina (NIST OSCAL, 800-53)?	✗	✗	✗	✓
¿Probar detección F1–F4 = 1.000, reproducible por ti?	✗	✗	✗	✓

✓ completo · ~ parcial / solo canal de texto · ✗ ninguno. Refleja el alcance predeterminado documentado de cada categoría a mayo de 2026; los productos individuales varían y evolucionan — correcciones bienvenidas en security@enclawed.com.
^*Algoritmos aprobados por FIPS (AES-256-GCM, SHA-256, Ed25519, scrypt) ejecutados por el módulo validado FIPS 140-3 del host en modo aprobado — validación heredada de ese módulo; no se requiere un certificado enclawed independiente.

Míralo en acción — demo de 13 segundos →

Pruebas, no promesas

Lo medimos — esto es lo que encontramos

Los mismos agentes, las mismas herramientas. enclawed comprueba cada acción antes de que ocurra y la registra para que no se pueda falsificar ni borrar. La medimos contra el runtime popular, in‑vivo, a través de la línea de comandos real de cada uno.

¿Puede detener…	sin registro	un registro falsificado	un fallo silencioso	el objetivo equivocado
OpenClaw (runtime popular)	✗	✗	✗	✗
`enclawed`	✓	✓	✓	✓

Detección medida: OpenClaw atrapó 0.000; enclawed 1.000 — sobre una línea base de 1.600 muestras, manteniéndose en 80.000 muestras y a través de 10 LLM de producción.

Esas cuatro se cierran mediante una única innovación — un criterio de corrección bicondicional que vincula cada acción al registro. enclawed cierra más que estas cuatro, con otras innovaciones propias — un monitor de egreso de canales encubiertos, admisión de servidores de herramientas atestiguada y verificación formal de skills. El cuerpo completo del trabajo está en la investigación.

No nos creas — ejecútalo. Clona el núcleo abierto y ejecuta la prueba tú mismo:

node --test enclawed/test/paper-conformance.test.mjs

Cuando llegó a moltbook, ~180 agentes de IA pasaron 48 horas intentando encontrarle agujeros. No pudieron. Ver la investigación →

Cobertura → cumplimiento

Contra qué puedes certificarte, hoy

enclawed no es un truco aislado. A lo largo de la investigación cierra los modos de fallo estructurales y lleva la exfiltración oculta a cero — y, la parte que de verdad te pone en producción, entrega los controles y la evidencia legible por máquina que un evaluador muestrea. Los residuales se rastrean en un POA&M firmado, exactamente como espera cada framework.

Mapeado a los estándares

Los frameworks contra los que te certificas, hoy

SOC 2, ISO 27001 — los controles y la evidencia que tu evaluador muestrea.
NIST 800-53 Rev 5 / 800-171, FedRAMP Moderate, CMMC L2 — el conjunto NIST OSCAL completo (CD + AR + SSP + POA&M), mapeado a controles.
HIPAA (45 CFR §164) — acceso de denegación por defecto, control de egreso y un rastro de auditoría a prueba de manipulaciones.
FIPS 140-3 — la criptografía se ejecuta sobre el módulo validado del host; despliega en modo aprobado y esa validación se hereda (no se requiere un certificado enclawed independiente).

enclawed entrega los controles técnicos y la evidencia; la certificación es de tu organización. Cada residual se rastrea en el POA&M firmado — y cuando aparece uno nuevo, lo medimos, lo cerramos y lo publicamos.

Llevado a cero · capa de egreso

Exfiltración oculta, medida hasta desaparecer

Portadores de texto — trucos de ancho cero y Unicode, homóglifos, espacios en blanco, blobs base64: capacidad residual llevada a cero.
Portadores de imagen — esteganografía LSB en píxeles: cero; luminancia media por imagen acotada a un tope medido.
Portadores de audio — ultrasónico y sub-perceptual: cero; sonificación en banda audible acotada, exenta solo para medios firmados en el arranque.

Monitor de referencia de egreso de canales encubiertos multimodal (arXiv:2605.20734). Ver la investigación →

Por qué te importa

Construido para poner en producción lo que de otro modo no puede

Endurecer un agente para un despliegue regulado o crítico para la seguridad no es una configuración rápida. Hecho desde cero se prolonga bastante más allá de un trimestre — y para los objetivos más difíciles simplemente no es alcanzable. enclawed es la base que hace posibles esos despliegues: llegar hasta aquí exigió avanzar el estado del arte en ciberseguridad de IA, con más de 6 artículos de investigación detrás de la estructura. Sin plazos mágicos — solo un sistema que convierte el «nunca superaría una auditoría» en uno que puedes desplegar y defender, con la evidencia incluida en la caja.

Para tu equipo de seguridad y cumplimiento

La capa de certificación sobre la que monta tu auditoría

SOC 2, ISO 27001, FedRAMP, un BAA de HIPAA, CMMC — esos certifican a tu organización, no a una biblioteca. enclawed-enclaved entrega los controles técnicos y la evidencia legible por máquina que tu evaluador muestrea, de modo que el flujo de trabajo de controles deja de ser lo que bloquea (o hunde) el programa. En cuanto a la criptografía, enclawed se ejecuta sobre el módulo validado FIPS 140-3 del host — no hay un módulo criptográfico específico de enclawed que certificar.

FIPS 140-3Módulo validado FIPSNIST 800-53 Rev 5NIST 800-171NIST OSCAL 1.2.2FedRAMP ModerateCMMC Level 2SOC 2 Type 1 / 2ISO 27001HIPAA / 45 CFR §164FFIECGLBANIS2EU CRAIEC 62443NIST 800-82Bell-LaPadulaAcreditación multitestigo

Propietario · enclawed-enclaved

Criptografía FIPS 140-3 sobre el módulo validado del host — cada operación criptográfica usa algoritmos aprobados por FIPS (AES-256-GCM, SHA-256, Ed25519, scrypt) ejecutados por el proveedor validado por CMVP del host en modo aprobado. La validación se hereda de ese módulo; no hay un módulo enclawed independiente que certificar.
Acreditador de confianza cero en el arranque — cada extensión se admite solo si su manifiesto firmado coincide con la raíz de confianza; la manipulación posterior a la inicialización se bloquea y se audita.
Registro de auditoría a prueba de manipulaciones encadenado por hashes + acreditación multitestigo — el registro no puede reescribirse sin romper la cadena en la siguiente verificación.
Control de acceso Bell-LaPadula + guardián de egreso de dos capas + escáner DLP — denegación por defecto, lista blanca por ruta, redacción por payload.
Monitor de referencia de egreso de canales encubiertos multimodal — capacidad encubierta residual llevada a cero a través de los canales de texto, imagen y audio (artículo: arXiv:2605.20734).
Conjunto de presentación NIST OSCAL 1.2.2 — Component Definition, Assessment Results, SSP inicial y POA&M — validados por esquema, firmados con Ed25519, auditados mediante cadena de hashes en cada ciclo, sobre un mapeo de controles NIST 800-53 Rev 5. Se importa en tu stack GRC; se integra con Vanta / Drata / Secureframe.
Endurecimiento continuo, riesgo residual documentado — F1–F4 están cerrados estructuralmente; cualquier modo de fallo recién detectado se mide, se corrige y se publica, y cada residual se rastrea en el POA&M firmado. No afirmamos cero brechas — afirmamos cerrado-o-rastreado.

Investigación y artículos Núcleo abierto en GitHub Tutoriales de código abierto Prensa

Informes por industria: Federal + DoD · Financiero · Sanidad · Plataformas de IA · Infraestructura crítica · Nube + DevSecOps

Asegura tus agentes.

Cuéntanos qué tocan tus agentes y qué necesitas superar. Cada despliegue es un proyecto a medida — lo dimensionamos contigo.

alfredo.metere@enclawed.com

Respondemos en un día hábil.

Alcanza el cumplimiento con tus agentes de IA. Por fin.