SentinelClaw ist unsere Self-hosted Pentest-Plattform. In diesem Beitrag erklären wir die zwei Bausteine, die SentinelClaw von bestehenden Tools wie Nessus, OpenVAS oder kommerziellen SaaS-Lösungen unterscheiden: NemoClaw als KI-Planungs-Engine und Landlock LSM als Kernel-Level-Sandbox. Warum überhaupt ein neues Pentest-Tool? Die kommerzielle Pentest-Landschaft ist seit 2020 in zwei Richtungen zerfallen: SaaS-Plattformen wie Intruder.io oder Pentera, die Scan-Ergebnisse auf fremden Servern speichern — und Legacy-Tools wie OpenVAS, deren Vulnerability-Datenbanken kaum noch gepflegt werden. Für DSGVO-kritische Umgebungen (Gesundheitswesen, Behörden, FinTech) fehlt ein Tool, das modern , self-hosted und isoliert läuft. SentinelClaw adressiert genau diese Lücke. NemoClaw — die KI-Planungs-Engine NemoClaw ist SentinelClaws KI-Kern. Statt starrer Scan-Profile plant NemoClaw einen Pentest schrittweise: Reconnaissance-Phase: Welche Services laufen? Welche Versionen? Hypothesen-Phase: Welche Schwachstellen sind bei dieser Service-Kombination plausibel? Priorisierung: Welche Tests haben das beste Signal-zu-Rausch-Verhältnis? Ausführung: Nur validierte Tests, jeder Schritt im Audit-Log. Der entscheidende Unterschied zu OpenClaw und anderen KI-Pentest-Tools: NemoClaw nutzt standardmäßig lokale LLMs (via Ollama oder vLLM). Kein Datenabfluss zu OpenAI, Anthropic oder Azure. Wer trotzdem Cloud-LLMs einsetzen will, kann das pro Scan explizit aktivieren — default-off, nicht default-on. Warum lokale LLMs? Pentest-Rohdaten enthalten Server-Namen, Subdomain-Strukturen, interne IP-Ranges, Software-Versionen und manchmal sensible Pfade. Diese Daten in eine Cloud-API zu schicken bedeutet: ein potenzieller Angreifer, der OpenAI-Logs kompromittiert, hat die komplette Reconnaissance für den nächsten echten Angriff. Unsere Default-Konfiguration läuft mit llama-3.1-70b oder mistral-small lokal. Das reicht für die Planungsphase locker — hier geht es um Reasoning über bekannte CVEs, nicht um kreative Generierung. Landlock LSM — der Kernel-Level-Käfig NemoClaw generiert Plan-Schritte, aber die eigentliche Ausführung passiert in Subprozessen (nmap, nuclei, eigene Skripte). Das Problem: Wenn einer dieser Subprozesse ausbricht oder eine Kette von CVE-Exploits zu weit geht, könnte er das Host-System angreifen. Hier kommt Landlock ins Spiel — ein Linux Security Module (LSM) seit Kernel 5.13 (2021). Landlock erlaubt einem Prozess, seine eigenen Berechtigungen freiwillig zu beschneiden , bevor er Kind-Prozesse startet. Konkret für SentinelClaw: // Pseudo-Code aus dem SentinelClaw-Core (Rust) let ruleset = Ruleset::new() .handle_access(AccessFs::from_all())? .create()? .add_rule(PathBeneath::new( scan_workdir, AccessFs::Read | AccessFs::Write, ))?; ruleset.restrict_self()?; // Ab hier: Subprozesse koennen NUR noch in scan_workdir lesen/schreiben. // Kein /etc, kein /home, kein /var. Das heißt: Selbst wenn ein Exploit-Skript ausbricht oder manipuliert wird, kann es maximal im Scan-Arbeitsverzeichnis operieren. Der Rest des Systems bleibt unerreichbar — durchgesetzt vom Linux-Kernel selbst, nicht von User-Space-Code. Warum nicht einfach Docker? Docker-Container sind eine gute erste Verteidigungslinie, aber: Container-Escapes existieren (CVE-2019-5736, CVE-2022-0185, CVE-2024-21626 — „leaky vessels") Jeder Container braucht root-equivalent Privilegien für netcap-Operationen Landlock läuft innerhalb des Containers und bietet eine zweite Verteidigungslinie Wir nutzen beides : Docker für Ressourcen-Isolation und Landlock für Dateisystem-Zugriffe. Defense in depth. Audit-Trail Jede Aktion — von der ersten NemoClaw-Hypothese bis zum letzten ausgeführten Subprozess — landet in einem strukturierten JSON-Log. Das ist wichtig für zwei Nutzergruppen: Compliance: ISO 27001 Annex A.12.4.1 verlangt Event-Logging. Unser JSON-Format ist direkt SIEM-kompatibel. Nachvollziehbarkeit: Wenn NemoClaw eine überraschende Empfehlung macht, können Operator die Reasoning-Kette Schritt für Schritt nachlesen. Wo steht SentinelClaw heute? Aktuell in Closed Beta, Release unter MIT-Lizenz geplant für Q3 2026. Der Code liegt auf GitHub . Early-Access-Anfragen gerne an kontakt@techlogia.de . In den nächsten Blogposts vergleichen wir NemoClaw direkt mit OpenClaw (Feature-Matrix, Benchmark-Ergebnisse) und zeigen einen vollständigen Pentest-Durchlauf auf einer bewusst verwundbaren Demo-Umgebung.
