SentinelClaw ist unsere Self-hosted Pentest-Plattform. In diesem Beitrag erklären wir die zwei Bausteine, die SentinelClaw von bestehenden Tools wie Nessus, OpenVAS oder kommerziellen SaaS-Lösungen unterscheiden: NemoClaw als KI-Planungs-Engine und Landlock LSM als Kernel-Level-Sandbox.
Warum überhaupt ein neues Pentest-Tool?
Die kommerzielle Pentest-Landschaft ist seit 2020 in zwei Richtungen zerfallen: SaaS-Plattformen wie Intruder.io oder Pentera, die Scan-Ergebnisse auf fremden Servern speichern — und Legacy-Tools wie OpenVAS, deren Vulnerability-Datenbanken kaum noch gepflegt werden. Für DSGVO-kritische Umgebungen (Gesundheitswesen, Behörden, FinTech) fehlt ein Tool, das modern, self-hosted und isoliert läuft.
SentinelClaw adressiert genau diese Lücke.
NemoClaw — die KI-Planungs-Engine
NemoClaw ist SentinelClaws KI-Kern. Statt starrer Scan-Profile plant NemoClaw einen Pentest schrittweise:
- Reconnaissance-Phase: Welche Services laufen? Welche Versionen?
- Hypothesen-Phase: Welche Schwachstellen sind bei dieser Service-Kombination plausibel?
- Priorisierung: Welche Tests haben das beste Signal-zu-Rausch-Verhältnis?
- Ausführung: Nur validierte Tests, jeder Schritt im Audit-Log.
Der entscheidende Unterschied zu OpenClaw und anderen KI-Pentest-Tools: NemoClaw nutzt standardmäßig lokale LLMs (via Ollama oder vLLM). Kein Datenabfluss zu OpenAI, Anthropic oder Azure. Wer trotzdem Cloud-LLMs einsetzen will, kann das pro Scan explizit aktivieren — default-off, nicht default-on.
Warum lokale LLMs?
Pentest-Rohdaten enthalten Server-Namen, Subdomain-Strukturen, interne IP-Ranges, Software-Versionen und manchmal sensible Pfade. Diese Daten in eine Cloud-API zu schicken bedeutet: ein potenzieller Angreifer, der OpenAI-Logs kompromittiert, hat die komplette Reconnaissance für den nächsten echten Angriff.
Unsere Default-Konfiguration läuft mit llama-3.1-70b oder
mistral-small lokal. Das reicht für die Planungsphase locker — hier geht
es um Reasoning über bekannte CVEs, nicht um kreative Generierung.
Landlock LSM — der Kernel-Level-Käfig
NemoClaw generiert Plan-Schritte, aber die eigentliche Ausführung passiert in Subprozessen (nmap, nuclei, eigene Skripte). Das Problem: Wenn einer dieser Subprozesse ausbricht oder eine Kette von CVE-Exploits zu weit geht, könnte er das Host-System angreifen.
Hier kommt Landlock ins Spiel — ein Linux Security Module (LSM) seit Kernel 5.13 (2021). Landlock erlaubt einem Prozess, seine eigenen Berechtigungen freiwillig zu beschneiden, bevor er Kind-Prozesse startet.
Konkret für SentinelClaw:
// Pseudo-Code aus dem SentinelClaw-Core (Rust)
let ruleset = Ruleset::new()
.handle_access(AccessFs::from_all())?
.create()?
.add_rule(PathBeneath::new(
scan_workdir,
AccessFs::Read | AccessFs::Write,
))?;
ruleset.restrict_self()?;
// Ab hier: Subprozesse koennen NUR noch in scan_workdir lesen/schreiben.
// Kein /etc, kein /home, kein /var.Das heißt: Selbst wenn ein Exploit-Skript ausbricht oder manipuliert wird, kann es maximal im Scan-Arbeitsverzeichnis operieren. Der Rest des Systems bleibt unerreichbar — durchgesetzt vom Linux-Kernel selbst, nicht von User-Space-Code.
Warum nicht einfach Docker?
Docker-Container sind eine gute erste Verteidigungslinie, aber:
- Container-Escapes existieren (CVE-2019-5736, CVE-2022-0185, CVE-2024-21626 — „leaky vessels")
- Jeder Container braucht root-equivalent Privilegien für netcap-Operationen
- Landlock läuft innerhalb des Containers und bietet eine zweite Verteidigungslinie
Wir nutzen beides: Docker für Ressourcen-Isolation und Landlock für Dateisystem-Zugriffe. Defense in depth.
Audit-Trail
Jede Aktion — von der ersten NemoClaw-Hypothese bis zum letzten ausgeführten Subprozess — landet in einem strukturierten JSON-Log. Das ist wichtig für zwei Nutzergruppen:
- Compliance: ISO 27001 Annex A.12.4.1 verlangt Event-Logging. Unser JSON-Format ist direkt SIEM-kompatibel.
- Nachvollziehbarkeit: Wenn NemoClaw eine überraschende Empfehlung macht, können Operator die Reasoning-Kette Schritt für Schritt nachlesen.
Wo steht SentinelClaw heute?
Aktuell in Closed Beta, Release unter MIT-Lizenz geplant für Q3 2026. Der Code liegt auf GitHub. Early-Access-Anfragen gerne an kontakt@techlogia.de.
In den nächsten Blogposts vergleichen wir NemoClaw direkt mit OpenClaw (Feature-Matrix, Benchmark-Ergebnisse) und zeigen einen vollständigen Pentest-Durchlauf auf einer bewusst verwundbaren Demo-Umgebung.