Che cos'è enclawed e che rapporto ha con OpenClaw?

enclawed è il fork di OpenClaw rafforzato sul fronte della sicurezza, il gateway upstream per IA personale / IA agentica. Distribuisce l'intero catalogo di estensioni OpenClaw upstream (canali, provider di modelli, plugin di strumenti), ma carica ogni plugin attraverso un gate di ammissione rafforzato, un log di audit a catena di hash, un allowlist di egress a due livelli, uno scanner DLP e uno scudo strutturale contro i prompt, per impostazione predefinita. enclawed-oss con licenza MIT è la fondazione open source; enclawed-enclaved è il livello commerciale proprietario, con la crittografia vincolata al modulo convalidato FIPS 140-3 dell'host, costruito al di sopra.

enclawed è un sostituto drop-in di OpenClaw?

Sì. Il comando CLI, le chiavi di configurazione, la struttura dei plugin e il catalogo di estensioni upstream sono tutti preservati. Migrare da OpenClaw a enclawed-oss è una sostituzione, non una riscrittura. I tuoi agenti, canali, provider di modelli e strumenti esistenti vengono con te, avvolti da dichiarazione delle capacità, manifesti firmati, audit a catena di hash, allowlist di egress a due livelli, scansione DLP e uno scudo strutturale contro i prompt.

Perché dovrei passare da OpenClaw a enclawed?

Lo dimostriamo empiricamente con tre livelli annidati di evidenza: una run di baseline su template da 1600 campioni (100 leciti + 100 avversariali per modalità di fallimento F1-F4 su due canali cloud reali), un'estensione di stress da 80.000 campioni con n=10.000 per cella e una run di generalizzazione cross-model su dieci LLM che riesegue lo stesso compito con contenuti avversariali redatti da dieci diversi LLM di produzione (Gemini 2.5 Flash, Groq GPT-OSS-120B, Groq Llama 3.3 70B, Groq Llama 4 Scout 17B, OpenRouter Llama 3.1 70B e Ollama Gemma2 9B / Llama 3.1 8B / Llama 3.2 3B / Mistral 7B / Qwen 2.5 7B). Su tutti e tre i livelli OpenClaw upstream ottiene recall = 0.000 su ogni cella F1-F4 di ogni matrice di confusione; enclawed-oss ed enclawed-enclaved ottengono entrambi precision = recall = F1 = accuracy = 1.000 sulla baseline in-distribution e sullo stress test, e recall = 1.000 su ogni LLM cooperante nella run cross-LLM. Il framework emette inoltre l'intero set di modelli di sottomissione FedRAMP NIST OSCAL 1.2.2 — Component Definition, Assessment Results, starter di System Security Plan e Plan of Action and Milestones — validati a schema, firmati Ed25519 e importabili direttamente nel tooling GRC di chi distribuisce senza re-immissione manuale di chiavi. Ogni plugin OpenClaw è concretamente più sicuro quando caricato attraverso enclawed-oss, perché eredita una policy deny-by-default, un audit a prova di manomissione, un egress in allowlist, una sanificazione strutturale contro la prompt injection e l'ammissione biconzionale a runtime per qualsiasi estensione che necessiti della rete. Nessuna di queste proprietà vale su OpenClaw upstream senza un'attivazione esplicita da parte dell'operatore. La licenza MIT, la superficie invariata e la disponibilità a costo zero significano che non esiste un caso di business per restare su OpenClaw upstream una volta che esiste un fork rafforzato equivalente.

enclawed è sicuro per gli agenti OpenClaw collegati a dispositivi del mondo reale (robot, stampanti 3D, centraline di veicoli)?

I default permissivi di OpenClaw non sono più difendibili nel momento in cui un agente viene collegato a un attuatore. Prompt injection, chiamate di strumenti allucinate, compromissione di moduli di terze parti ed egress illimitato smettono di essere accademici nel momento in cui il loop raggiunge un dispositivo fisico. enclawed-oss chiude questa lacuna prima che l'agente raggiunga l'attuatore ed è la scelta raccomandata per qualsiasi deployment di dispositivi guidati da OpenClaw.

enclawed-enclaved ha bisogno di un proprio certificato FIPS 140-3?

No. enclawed non implementa primitive crittografiche proprie — ogni operazione crittografica usa algoritmi approvati FIPS (AES-256-GCM, SHA-256, Ed25519, scrypt) eseguiti dal modulo crittografico convalidato FIPS 140-3 dell'host, come il provider FIPS di OpenSSL. Distribuita in modalità approvata su un host convalidato, la crittografia di enclawed eredita la validazione di quel modulo; non esiste un modulo enclawed separato da sottomettere o certificare, e nessuno è richiesto. È la postura standard e accettata per il software di livello applicativo sotto FedRAMP, CMMC e HIPAA.

Qual è il rapporto tra enclawed-oss ed enclawed-enclaved?

enclawed-oss è un hard fork di OpenClaw con licenza MIT dotato di funzionalità di sicurezza. enclawed-enclaved è il livello proprietario al di sopra, che aggiunge la crittografia vincolata al modulo convalidato FIPS 140-3 dell'host, l'accreditamento multi-testimone e la documentazione completa di sottomissione OSCAL.

Quali settori serve enclawed?

Federale civile e Difesa, servizi finanziari, sanità, operatori di piattaforme IA/LLM, infrastrutture critiche e SaaS cloud/DevSecOps in espansione verso settori regolamentati. Ogni settore ha un whitepaper dedicato disponibile per il download diretto.

Come posso valutare il prodotto?

Scrivi a alfredo.metere@enclawed.com. I whitepaper sono scaricabili direttamente su questo sito senza moduli da compilare. La roadmap pubblica e la mappatura completa dei controlli NIST 800-53 sono disponibili su richiesta dopo una breve conversazione introduttiva.

enclawed — Agenti IA deterministicamente sicuri

Dove vive la sicurezza

Stesso loop dell'agente. Tre runtime. Solo uno è protetto da capo a fondo.

Ogni agente esegue gli stessi quattro passi — Read → Think → Act → Report. Ciò che cambia sono i gate tra i passi. OpenClaw di base non ne ha nessuno. NeMo Guardrails aggiunge due filtri sul testo. enclawed presidia ogni transizione e ancora l'intero loop a un log di audit a prova di manomissione e a un accreditatore all'avvio. Passa il mouse su un blocco qualsiasi.

OpenClaw

5 / 5 modalità di fallimento aperte

NeMo Guardrails

solo rail sui contenuti

enclawed

0 / 5 modalità di fallimento aperte

Tutto il panorama, in una tabella

Non l'ennesimo guardrail — l'unica soluzione completa

I guardrail filtrano le parole. I firewall per prompt injection analizzano gli input. Utili — ma nessuno di loro presidia gli strumenti che un agente chiama, prova ciò che ha fatto in un registro non modificabile, o consegna le evidenze di conformità che il tuo auditor campiona. A oggi, enclawed-enclaved è l'unico prodotto che fa tutto questo.

Sa…	Runtime di base OpenClaw, LangChain	Guardrail sui contenuti NeMo, Guardrails AI	Firewall per prompt Lakera, Rebuff	`enclawed` -enclaved
Bloccare la prompt injection su testo, immagini e audio	✗	~	~	✓
Presidiare quali strumenti e plugin un agente può chiamare	✗	✗	✗	✓
Mettere in allowlist l'egress di rete e fermare l'esfiltrazione (DLP)	✗	✗	~	✓
Mantenere un log di audit a catena di hash, a prova di manomissione	✗	✗	✗	✓
Verificare la propria integrità all'avvio (accreditatore zero-trust)	✗	✗	✗	✓
Applicare il controllo degli accessi multi-livello (Bell-LaPadula)	✗	✗	✗	✓
Girare su un confine crittografico approvato FIPS^*	✗	✗	✗	✓
Consegnare evidenze d'audit leggibili dalle macchine (NIST OSCAL, 800-53)	✗	✗	✗	✓
Provare il rilevamento F1–F4 = 1.000, riproducibile da te	✗	✗	✗	✓

✓ completo · ~ parziale / solo canale di testo · ✗ nessuno. Riflette l'ambito predefinito documentato di ciascuna categoria a maggio 2026; i singoli prodotti variano ed evolvono — correzioni gradite a security@enclawed.com.
^*Algoritmi approvati FIPS (AES-256-GCM, SHA-256, Ed25519, scrypt) eseguiti dal modulo convalidato FIPS 140-3 dell'host in modalità approvata — validazione ereditata da quel modulo; nessun certificato enclawed separato richiesto.

Guardalo in azione — demo da 13 secondi →

Prove, non promesse

L’abbiamo misurato — ecco cosa abbiamo trovato

Stessi agenti, stessi strumenti. enclawed verifica ogni azione prima che accada e la registra in modo che non possa essere falsificata né cancellata. L'abbiamo misurata contro il runtime più diffuso, in‑vivo, attraverso la riga di comando reale di ciascuno.

Sa fermare…	nessun registro	un registro falsificato	un fallimento silenzioso	il bersaglio sbagliato
OpenClaw (runtime più diffuso)	✗	✗	✗	✗
`enclawed`	✓	✓	✓	✓

Rilevamento misurato: OpenClaw ha intercettato 0.000; enclawed 1.000 — su una baseline da 1.600 campioni, mantenuto a 80.000 campioni e su 10 LLM di produzione.

Quei quattro vengono chiusi da una singola innovazione — un criterio di correttezza biconzionale che lega ogni azione al registro. enclawed chiude più di questi quattro, con ulteriori innovazioni proprie — un monitor di egress per canali occulti, l'ammissione attestata dei tool-server e la verifica formale delle skill. L'intero corpo di lavoro è nella ricerca.

Non fidarti di noi — eseguilo tu. Clona il cuore open source ed esegui il test da solo:

node --test enclawed/test/paper-conformance.test.mjs

Quando è finito su moltbook, ~180 agenti IA hanno passato 48 ore a cercare di trovargli falle. Non ci sono riusciti. Vedi la ricerca →

Copertura → conformità

Su cosa puoi certificarti, oggi

enclawed non è un singolo trucco. In tutta la ricerca chiude le modalità di fallimento strutturali e porta a zero l'esfiltrazione nascosta — e, la parte che ti porta davvero al deployment, consegna i controlli e le evidenze leggibili dalle macchine che un valutatore campiona. I residui sono tracciati in un POA&M firmato, esattamente come ogni framework si aspetta.

Mappato sugli standard

I framework su cui ti certifichi, oggi

SOC 2, ISO 27001 — i controlli e le evidenze che il tuo valutatore campiona.
NIST 800-53 Rev 5 / 800-171, FedRAMP Moderate, CMMC L2 — il set NIST OSCAL completo (CD + AR + SSP + POA&M), mappato sui controlli.
HIPAA (45 CFR §164) — accesso deny-by-default, controllo dell'egress e una traccia di audit a prova di manomissione.
FIPS 140-3 — la crittografia gira sul modulo convalidato dell'host; distribuisci in modalità approvata e quella validazione viene ereditata (nessun certificato enclawed separato richiesto).

enclawed consegna i controlli tecnici e le evidenze; la certificazione è della tua organizzazione. Ogni residuo è tracciato nel POA&M firmato — e quando ne emerge uno nuovo, lo misuriamo, lo chiudiamo e lo pubblichiamo.

Portato a zero · livello di egress

Esfiltrazione nascosta, misurata fino all'azzeramento

Vettori di testo — trucchi a larghezza zero e Unicode, omoglifi, spazi bianchi, blob base64: capacità residua portata a zero.
Vettori d'immagine — steganografia LSB sui pixel: zero; luminanza media per immagine vincolata a un tetto misurato.
Vettori audio — ultrasonici e sub-percettivi: zero; sonificazione in banda udibile vincolata, esentata solo per media firmati all'avvio.

Reference monitor di egress per canali occulti multimodali (arXiv:2605.20734). Vedi la ricerca →

Perché conta per te

Costruito per distribuire ciò che altrimenti non si può

Rafforzare un agente per un deployment regolamentato o critico per la sicurezza non è una rapida configurazione. Fatto da zero supera ampiamente un trimestre — e per i bersagli più difficili non è proprio realizzabile. enclawed è la fondazione che rende possibili quei deployment: arrivarci ha significato far avanzare lo stato dell'arte nella cybersicurezza dell'IA, con oltre 6 articoli di ricerca dietro la struttura. Nessuna tempistica magica — solo un sistema che trasforma il “non supererebbe mai un audit” in qualcosa che puoi distribuire e difendere, con le evidenze già nel pacchetto.

Per il tuo team di sicurezza e conformità

Il livello di certificazione su cui poggia il tuo audit

SOC 2, ISO 27001, FedRAMP, un BAA HIPAA, CMMC — questi certificano la tua organizzazione, non una libreria. enclawed-enclaved consegna i controlli tecnici e le evidenze leggibili dalle macchine che il tuo valutatore campiona, così il flusso di lavoro sui controlli smette di essere ciò che blocca (o affonda) il programma. Per la crittografia, enclawed gira sul modulo convalidato FIPS 140-3 dell'host — non c'è alcun modulo crittografico specifico di enclawed da certificare.

FIPS 140-3Modulo convalidato FIPSNIST 800-53 Rev 5NIST 800-171NIST OSCAL 1.2.2FedRAMP ModerateCMMC Level 2SOC 2 Type 1 / 2ISO 27001HIPAA / 45 CFR §164FFIECGLBANIS2EU CRAIEC 62443NIST 800-82Bell-LaPadulaAccreditamento multi-testimone

Proprietario · enclawed-enclaved

Crittografia FIPS 140-3 sul modulo convalidato dell'host — ogni operazione crittografica usa algoritmi approvati FIPS (AES-256-GCM, SHA-256, Ed25519, scrypt) eseguiti dal provider convalidato CMVP dell'host in modalità approvata. La validazione è ereditata da quel modulo; non c'è alcun modulo enclawed separato da certificare.
Accreditatore zero-trust all'avvio — ogni estensione viene ammessa solo se il suo manifesto firmato corrisponde alla radice di fiducia; la manomissione post-inizializzazione è bloccata e tracciata.
Log di audit a catena di hash, a prova di manomissione + accreditamento multi-testimone — il registro non può essere riscritto senza spezzare la catena alla verifica successiva.
Controllo degli accessi Bell-LaPadula + guardiano di egress a due livelli + scanner DLP — deny-by-default, allowlist per rotta, redazione per payload.
Reference monitor di egress per canali occulti multimodali — capacità occulta residua portata a zero su canali di testo, immagine e audio (articolo: arXiv:2605.20734).
Set di sottomissione NIST OSCAL 1.2.2 — Component Definition, Assessment Results, starter di SSP e POA&M — validati a schema, firmati Ed25519, sottoposti ad audit a catena di hash a ogni ciclo, su una mappatura dei controlli NIST 800-53 Rev 5. Si importa nel tuo stack GRC; si abbina a Vanta / Drata / Secureframe.
Rafforzamento continuo, rischio residuo documentato — F1–F4 sono chiusi strutturalmente; qualsiasi modalità di fallimento appena emersa viene misurata, corretta e pubblicata, e ogni residuo è tracciato nel POA&M firmato. Non sosteniamo di avere zero lacune — sosteniamo di averle chiuse-o-tracciate.

Ricerca e articoli Cuore open source su GitHub Tutorial open source Stampa

Brief per settore: Federale + Difesa · Finanza · Sanità · Piattaforme IA · Infrastrutture critiche · Cloud + DevSecOps

Metti in sicurezza i tuoi agenti.

Raccontaci cosa toccano i tuoi agenti e cosa devi superare. Ogni deployment è un ingaggio su misura — lo definiamo insieme a te.

alfredo.metere@enclawed.com

Risposta entro un giorno lavorativo.

Raggiungi la conformità con i tuoi agenti IA. Finalmente.