enclawed とは何ですか。OpenClaw とはどのような関係ですか。

enclawed は、上流のパーソナルAI／エージェント型AIゲートウェイである OpenClaw をセキュリティ堅牢化したフォークです。上流 OpenClaw の拡張カタログ（チャネル、モデルプロバイダ、ツールプラグイン）をそのまま同梱しつつ、すべてのプラグインを、堅牢化された受け入れゲート、ハッシュチェーン監査ログ、二層の送信先アローリスト、DLP スキャナ、構造的プロンプトシールドを通して標準で読み込みます。MIT ライセンスの enclawed-oss がオープンソースの基盤であり、その上にプロプライエタリな商用レイヤー enclawed-enclaved（暗号処理をホストの FIPS 140-3 認証済みモジュールにバインド）が載ります。

enclawed は OpenClaw のドロップイン置き換えとして使えますか。

はい。CLI コマンド、設定キー、プラグイン構成、上流拡張カタログはすべてそのまま維持されます。OpenClaw から enclawed-oss への移行は、書き直しではなく置き換えです。既存のエージェント、チャネル、モデルプロバイダ、ツールはそのまま引き継がれ、その周囲に能力宣言、署名済みマニフェスト、ハッシュチェーン監査、二層の送信先アローリスト、DLP スキャン、構造的プロンプトシールドが巻き付けられます。

なぜ OpenClaw から enclawed に乗り換えるべきなのですか。

私たちは、3層に入れ子になった実証的証拠でこれを裏付けています。1,600 サンプルのテンプレートベースライン実行（2つの実クラウドチャネルにわたり、各障害モード F1〜F4 ごとに正常 100 + 敵対的 100）、セルあたり n=10,000 の 80,000 サンプルストレステスト、そして同一タスクを 10 種類の本番 LLM（Gemini 2.5 Flash、Groq GPT-OSS-120B、Groq Llama 3.3 70B、Groq Llama 4 Scout 17B、OpenRouter Llama 3.1 70B、Ollama Gemma2 9B / Llama 3.1 8B / Llama 3.2 3B / Mistral 7B / Qwen 2.5 7B）が作成した敵対的コンテンツで再実行する 10-LLM 横断汎化実行です。3層すべてで、上流 OpenClaw はあらゆる混同行列の F1〜F4 セルすべてで recall = 0.000 でした。enclawed-oss と enclawed-enclaved はともに、分布内ベースラインとストレステストで precision = recall = F1 = accuracy = 1.000 を達成し、LLM 横断実行でも協調するすべての LLM で recall = 1.000 を達成しました。さらにこのフレームワークは、NIST OSCAL 1.2.2 の FedRAMP 提出モデル一式（コンポーネント定義、評価結果、システムセキュリティ計画スターター、行動計画とマイルストーン）をスキーマ検証済み・Ed25519 署名済みで出力し、手動の鍵再設定なしで展開者の GRC ツールに直接インポートできます。すべての OpenClaw プラグインは enclawed-oss を通して読み込まれることで実質的に安全になります。デフォルト拒否ポリシー、改ざん耐性のある監査、アローリスト化された送信、構造的なプロンプトインジェクションのサニタイズ、そしてネットワークを必要とするあらゆる拡張に対する実行時の双条件的な受け入れを継承するからです。これらの特性はいずれも、運用者がオプトインしない限り上流 OpenClaw では成立しません。MIT ライセンス、変わらない操作面、ゼロコストでの提供を踏まえれば、同等の堅牢化フォークが存在する以上、上流 OpenClaw に留まる事業上の理由はありません。

enclawed は、現実世界のデバイス（ロボット、3Dプリンタ、車両コントローラ）に接続された OpenClaw エージェントでも安全ですか。

エージェントがアクチュエータに接続された瞬間、OpenClaw の寛容なデフォルトはもはや擁護できません。プロンプトインジェクション、幻覚によるツール呼び出し、サードパーティモジュールの侵害、無制限の送信は、ループが物理デバイスに到達した瞬間に学術的な話ではなくなります。enclawed-oss は、エージェントがアクチュエータに到達する前にそのギャップを塞ぎます。OpenClaw 駆動のあらゆるデバイス展開に推奨される選択肢です。

enclawed-enclaved には独自の FIPS 140-3 証明書が必要ですか。

いいえ。enclawed は独自の暗号プリミティブを一切実装していません。すべての暗号処理は、FIPS 承認アルゴリズム（AES-256-GCM、SHA-256、Ed25519、scrypt）を、OpenSSL FIPS プロバイダなどホストの FIPS 140-3 認証済み暗号モジュールが承認モードで実行することによって行われます。認証済みホスト上で承認モードで展開すれば、enclawed の暗号処理はそのモジュールの検証を継承します。enclawed 用に別途提出・認証すべきモジュールは存在せず、その必要もありません。これは FedRAMP、CMMC、HIPAA の下でアプリケーション層ソフトウェアに対して標準的かつ受け入れられているポスチャです。

enclawed-oss と enclawed-enclaved の関係はどうなっていますか。

enclawed-oss は、セキュリティ機能を備えた MIT ライセンスの OpenClaw ハードフォークです。enclawed-enclaved はその上に載るプロプライエタリレイヤーで、ホストの FIPS 140-3 認証済みモジュールにバインドされた暗号処理、マルチウィットネス認定、そして OSCAL 提出文書一式を追加します。

enclawed はどの業界を対象としていますか。

連邦民生と国防（DoD）、金融サービス、医療、AI／LLM プラットフォーム事業者、重要インフラ、そして規制業界へ拡大するクラウド／DevSecOps SaaS です。各業界には、直接ダウンロードできる専用ホワイトペーパーをご用意しています。

製品はどのように評価できますか。

alfredo.metere@enclawed.com までメールでご連絡ください。ホワイトペーパーはフォーム不要で本サイトから直接ダウンロードできます。公開ロードマップと完全な NIST 800-53 コントロールマッピングは、簡単な導入面談の後にお求めに応じてご提供します。

enclawed — 確定的に安全なAIエージェント

セキュリティが宿る場所

同じエージェントループ。3 つのランタイム。端から端まで守られているのは 1 つだけ。

どのエージェントも同じ 4 ステップを実行します — 読み取り → 思考 → 実行 → 報告。違うのは、ステップの間にあるゲートです。素の OpenClaw には 1 つもありません。NeMo Guardrails は 2 つのテキストフィルタを足します。enclawed はすべての遷移をゲートし、ループ全体を改ざん耐性のある監査ログと起動時の認定機能に固定します。どのブロックにもカーソルを合わせてみてください。

OpenClaw

5 / 5 の障害モードが開いたまま

NeMo Guardrails

コンテンツレールのみ

enclawed

0 / 5 の障害モードが開いたまま

どのブロックにもカーソルを合わせてください

この図が示していること

3 つとも同じ読み取り → 思考 → 実行 → 報告のループを動かします。フェーズ間のボックスこそがセキュリティの宿る場所です。素の OpenClaw には 1 つもありません。NeMo Guardrails にはテキストチャネルのレールが 2 つあります。enclawed はすべての遷移をゲートし — プロンプトシールド、プラグイン受け入れ、送信 + DLP — ループを改ざん耐性のある監査ログと起動時の認定機能に固定します。どのブロックにもカーソルを合わせるかタップすると詳細が表示されます。

ヒント: キーボード操作の方は Tab でブロックを移動できます。フォーカスするたびにこのパネルが更新されます。

この分野全体を、1 つの表で

もう 1 つのガードレールではなく — 唯一の完全なソリューション

ガードレールは言葉をフィルタします。プロンプトインジェクションファイアウォールは入力を走査します。どちらも有用です — ですが、エージェントが呼び出すツールをゲートしたり、編集できない記録で行ったことを証明したり、監査人がサンプリングするコンプライアンス証拠を出荷したりするものは 1 つもありません。本日時点で、enclawed-enclaved はそれらすべてを行う唯一の製品です。

これができるか…	素のランタイム OpenClaw, LangChain	コンテンツガードレール NeMo, Guardrails AI	プロンプトファイアウォール Lakera, Rebuff	`enclawed` -enclaved
テキスト・画像・音声をまたいでプロンプトインジェクションをブロック	✗	~	~	✓
エージェントが呼び出せるツールとプラグインをゲート	✗	✗	✗	✓
ネットワーク送信をアローリスト化し、流出を阻止（DLP）	✗	✗	~	✓
改ざん耐性のあるハッシュチェーン監査ログを保持	✗	✗	✗	✓
起動時に自身の整合性を検証（ゼロトラスト認定機能）	✗	✗	✗	✓
マルチレベルアクセス制御を強制（Bell-LaPadula）	✗	✗	✗	✓
FIPS 承認の暗号境界上で動作^*	✗	✗	✗	✓
機械可読の監査証拠を出荷（NIST OSCAL, 800-53）	✗	✗	✗	✓
F1–F4 検知 = 1.000 を、あなた自身が再現できる形で証明	✗	✗	✗	✓

✓ 完全対応 · ~ 部分対応 / テキストチャネルのみ · ✗ なし。2026 年 5 月時点で各カテゴリが文書化しているデフォルトの適用範囲を反映しています。個々の製品は異なり、進化していきます — 訂正は security@enclawed.com までお寄せください。
^*FIPS 承認アルゴリズム（AES-256-GCM, SHA-256, Ed25519, scrypt）を、ホストの FIPS 140-3 認証済みモジュールが承認モードで実行 — 検証はそのモジュールから継承され、enclawed 独自の証明書は不要です。

動いているところを見る — 13秒デモ →

約束ではなく、証拠

計測しました — 結果はこちら

同じエージェント、同じツール。enclawed はすべてのアクションを、それが起きる前にチェックし、偽造も消去もできない形で記録します。人気のランタイムと比較し、それぞれ実際のコマンドラインを通して、生きた状態で測定しました。

これを止められるか…	記録なし	偽造された記録	沈黙の失敗	誤った対象
OpenClaw （人気のランタイム）	✗	✗	✗	✗
`enclawed`	✓	✓	✓	✓

測定された検知率: OpenClaw は 0.000、enclawed は 1.000 — 1,600 サンプルのベースラインで、80,000 サンプルでも、10 種類の本番 LLM をまたいでも維持されました。

この 4 つは、単一のイノベーション — すべてのアクションを記録に結びつける双条件的な正当性判定基準 — によって塞がれます。enclawed はこの 4 つ以上を、それ自身のさらなるイノベーションで塞ぎます — 隠れチャネルの送信監視、認証済みツールサーバーの受け入れ、形式的なスキル検証など。研究の全体像は研究にあります。

私たちを信じる必要はありません — 自分で動かしてください。 オープンコアをクローンして、自分でテストを実行できます:

node --test enclawed/test/paper-conformance.test.mjs

moltbook に掲載されたとき、約 180 体の AI エージェントが 48 時間にわたって穴を見つけようとしました。誰も見つけられませんでした。研究を見る →

カバレッジ → コンプライアンス

本日、認証に使えるもの

enclawed は一発芸ではありません。研究全体を通じて、構造的な障害モードを塞ぎ、隠れた流出をゼロまで追い込みます — そして、実際にあなたを展開へと導く部分、つまりコントロールと、評価者がサンプリングする機械可読の証拠の両方を出荷します。残存リスクは署名済みの POA&M で追跡され、あらゆるフレームワークが期待するとおりに扱われます。

標準にマッピング済み

本日、認証に使えるフレームワーク

SOC 2, ISO 27001 — 評価者がサンプリングするコントロールと証拠。
NIST 800-53 Rev 5 / 800-171, FedRAMP Moderate, CMMC L2 — NIST OSCAL 一式（CD + AR + SSP + POA&M）、コントロールマッピング済み。
HIPAA（45 CFR §164） — デフォルト拒否のアクセス、送信制御、改ざん耐性のある監査証跡。
FIPS 140-3 — 暗号処理はホストの認証済みモジュール上で動作。承認モードで展開すればその検証を継承します（enclawed 独自の証明書は不要）。

enclawed は技術的コントロールと証拠を出荷します。認証はあなたの組織のものです。残存リスクはすべて署名済みの POA&M で追跡され、新たなものが見つかれば、私たちはそれを測定し、塞ぎ、公開します。

ゼロまで追い込む · 送信レイヤー

隠れた流出を、測定して排除

テキストキャリア — ゼロ幅・Unicode のトリック、同形異義字、空白、base64 ブロブ: 残存容量をゼロまで追い込み。
画像キャリア — LSB ピクセルステガノグラフィ: ゼロ。画像ごとの平均輝度は測定された上限に抑制。
音声キャリア — 超音波・知覚下: ゼロ。可聴帯域のソニフィケーションは抑制され、起動時に署名されたメディアのみ例外。

マルチモーダル隠れチャネル送信リファレンスモニタ（arXiv:2605.20734）。研究を見る →

なぜそれがあなたにとって重要か

本来なら出荷できないものを、出荷するために作られた

規制下、または安全が極めて重要な展開のためにエージェントを堅牢化するのは、ちょっとした設定では済みません。ゼロから行えば一四半期をゆうに超え — 最難関の対象では、そもそも達成不可能です。enclawed は、そうした展開を可能にする基盤です。ここにたどり着くには AI サイバーセキュリティの最先端を前進させる必要があり、その構造の背後には 6 本以上の研究論文があります。魔法のようなスケジュールではなく — 「監査を絶対に通らない」を、証拠を箱に入れたまま展開し、守り抜けるものへと変えるシステムです。

セキュリティ・コンプライアンスチームの方へ

あなたの監査が乗る認証レイヤー

SOC 2、ISO 27001、FedRAMP、HIPAA の BAA、CMMC — これらはあなたの組織を認証するものであり、ライブラリを認証するものではありません。enclawed-enclaved は技術的コントロールと、評価者がサンプリングする機械可読の証拠の両方を出荷します。だからコントロールのワークストリームが、プログラムを止める（あるいは沈める）要因ではなくなります。暗号処理について、enclawed はホストの FIPS 140-3 認証済みモジュール上で動作します — 認証すべき enclawed 固有の暗号モジュールは存在しません。

FIPS 140-3FIPS 認証済みモジュールNIST 800-53 Rev 5NIST 800-171NIST OSCAL 1.2.2FedRAMP ModerateCMMC Level 2SOC 2 Type 1 / 2ISO 27001HIPAA / 45 CFR §164FFIECGLBANIS2EU CRAIEC 62443NIST 800-82Bell-LaPadulaマルチウィットネス認定

プロプライエタリ · enclawed-enclaved

ホストの認証済みモジュール上での FIPS 140-3 暗号処理 — すべての暗号処理は、FIPS 承認アルゴリズム（AES-256-GCM, SHA-256, Ed25519, scrypt）を、ホストの CMVP 認証済みプロバイダが承認モードで実行します。検証はそのモジュールから継承されます。認証すべき enclawed 独自のモジュールは存在しません。
起動時のゼロトラスト認定機能 — 各拡張は、署名済みマニフェストがトラストルートと一致した場合にのみ受け入れられます。初期化後の改ざんはブロックされ、監査されます。
ハッシュチェーン改ざん耐性監査ログ + マルチウィットネス認定 — 記録は、次の検証でチェーンを壊さずには書き換えられません。
Bell-LaPadula アクセス制御 + 二層の送信ガード + DLP スキャナ — デフォルト拒否、ルート単位のアローリスト、ペイロード単位のリダクション。
マルチモーダル隠れチャネル送信リファレンスモニタ — 残存する隠れ容量を、テキスト・画像・音声チャネルにわたってゼロまで追い込みます（論文: arXiv:2605.20734）。
NIST OSCAL 1.2.2 提出モデル一式 — コンポーネント定義、評価結果、SSP スターター、POA&M — スキーマ検証済み、Ed25519 署名済み、毎サイクルハッシュチェーン監査済みで、NIST 800-53 Rev 5 のコントロールマッピング上に構築。あなたの GRC スタックにインポートでき、Vanta / Drata / Secureframe と連携します。
継続的な堅牢化、文書化された残存リスク — F1–F4 は構造的に塞がれています。新たに見つかった障害モードはすべて測定し、修正し、公開し、残存リスクはすべて署名済みの POA&M で追跡します。私たちはギャップがゼロだとは主張しません — 塞いだか、追跡中かだと主張します。

研究と論文 GitHub のオープンコアオープンソースのチュートリアルプレス

業界別の概要: 連邦 + 国防 · 金融 · 医療 · AI プラットフォーム · 重要インフラ · クラウド + DevSecOps

エージェントを安全に。

あなたのエージェントが何に触れ、何を通過させる必要があるかをお聞かせください。すべての展開はカスタムの取り組みです — 私たちが一緒にスコープを決めます。

alfredo.metere@enclawed.com

1 営業日以内に返信します。

AIエージェントで、ついにコンプライアンスを満たす。