OpenClaw安全有救了！不改内核、无视AI内部逻辑，数学级枷锁驯服暴走智能体

OpenClaw、OpenCode、Hermes Agent 等已经拥有极高的自主决策能力，它们能进行逻辑推理和任务规划，还能全网搜集资料并跑起各种复杂的代码。

伴随强大能力一同到来的，是能够彻底击穿现有防御体系的安全黑洞。

南方科技大学和香港科技大学的研究团队推出的 ClawLess 框架，给 AI 智能体套上一个在最坏情况下依然牢不可破的数学级安全枷锁，从底层系统调用源头扼杀任何出格行为。

ClawLess 框架将经过形式化验证的抽象安全策略，翻译成底层的系统调用拦截指令，让智能体在极度受限的牢笼里乖乖干活，防止了其内部黑盒可能酝酿的种种越权企图。

假设所有的智能体终将叛变

传统软件的安全防护，建立在清晰的信任边界与可预测的指令之上。

传统的软件系统只会去指定的服务器拉取数据，执行程序员写死在代码里的指令，在固定的权限里本本分分地运作。

智能体完全颠覆了常识。它们自主从各种未知的网络源头获取海量信息，完全失去了安全输入与恶意输入之间的分界线。

给智能体分配权限是一个棘手的难题。

为了顺畅完成任务，它们需要读写文件、连通网络甚至执行系统程序。

给予高权限极易引发灾难，把权限卡得太死又会让它们彻底罢工变成废物。传统软件工程里百试百灵的最小权限原则，面对不可控的黑盒大模型失去了效力。

拥有高度自主权的AI系统，常规的防御手段统统失效。试图用静态代码分析、去预测大模型的非确定性输出，宛如在赌场里预测下一张发出的底牌。

单纯用提示词去教导大模型向善，或者通过训练去压制其作恶倾向，根本无法提供理论层面的安全保障。

黑客完全可以通过在公开网页上，植入一段含有底层逻辑漏洞细节的恶意文本，诱导前去抓取信息的智能体轻松逃逸出沙盒容器。

设计防御方案必须立足于最悲观的极端情况。

ClawLess 团队因此确立了两个残酷的基础假设：假定智能体聪明，具备能力对任何安全机制发起成体系的复杂攻击；假定智能体脆弱，由于长期暴露在未经清洗的网络输入中，迟早会被恶意提示词诱导至黑化叛变。

基于上述假设，系统安全彻底放弃寄托于智能体自身，智能体及其所在的容器软件栈，全部划为不可信组件并予以隔离。

硬件底层与执行安全监控的特定软件层，作为可信的基石被严密保护。对于智能体从外部网络下载的各类脚本文件，防线会再往后退一步，在不可信的区域内建立权限更低的独立沙盒，严防含有恶意载荷的外部代码冲击主系统。

寻找完美的物理隔离牢笼

隔离需要一个坚不可摧的执行容器。业界现有的几种主流安全容器方案，存在巨大的体验与安全落差。

标准的 Docker 容器在部署便捷度上表现好，复用宿主机内核的控制组和命名空间机制来运行应用程序。但也留下了致命的安全缺口。庞大且臃肿的 Linux 内核一旦出现漏洞，整个容器防线瞬间土崩瓦解。

过去10年间，Linux 爆出了37个通用漏洞披露 (CVE)，其中包含5个评分超过9.0的高危漏洞。

虚拟化技术 Kata Container 与机密容器 CoCo 走向了安全性的另一个极端。

它们利用硬件扩展技术甚至可信执行环境 (TEE) 将容器彻底封装起来，连虚拟机管理器都被排除在信任代码库之外。

物理级别的强隔离，阻断了智能体与宿主环境之间的交互通道，导致智能体无法顺畅完成很多涉及系统底层的任务。严苛的运行条件，也让这类方案很难在普通的云环境中大规模铺开。

用户态内核方案（User-space Kernel），巧妙地平衡了严苛的隔离诉求与顺畅的交互体验。

以 gVisor 为代表的用户态内核，在不可信的智能体和脆弱的宿主机内核之间，强行插入了一层极为精简的可信防护网。

它拦截并代理了几乎所有的内核交互请求，自身仅作为宿主机上的一个普通用户进程运行。由于代码基数极小，同时保留了极高的操作兼容性，成为装载智能体的理想选择。

编织动态验证的语义法则

有了底层的物理牢笼，还需要一套不存在任何逻辑死角的管理规矩。

ClawLess 建立了一个细腻的形式化安全模型，将系统内的文件、进程、套接字以及设备统统定义为可管理的实体。每一个实体都带有关联属性，通过简单的正则表达式即可精准锁定特定目录下的敏感资源。

权限模型涵盖了读取、写入、追加等常规操作，外加剥夺执行权限的特殊控制。

针对敏感的凭证信息，开发团队专门引入了可见性语义。智能体在调用各类外部云服务时必须出示凭证，放开读取权限意味着智能体能看到凭证的具体字符，存在极大的泄露风险。

赋予可见性权限后，智能体可以在当前的执行域中引用对应的凭证完成校验，全程无法窥探其中的哪怕一个字符，从机制上杜绝了密码被大模型读取，并偷偷发送到外部网络的可能性。

将安全规则固化在系统启动的那一刻，会带来极大的局限性。在静态模型下，一旦系统同时赋予智能体读取敏感文件和访问外部套接字的权限，无异于默许信息泄露。

为了防范此类风险，防御系统融入了线性时序逻辑。加入时间维度的状态判断后，规则立刻变得鲜活起来。

系统可以设定出严格的联动反应：只要智能体在过去任何时间点读取了某个高度机密的文件，系统立刻永久封锁其向外网发送数据的通道。

所有的实体定义、权限划分与时序约束，全部转化为严谨的形式化数学语言。

开发者无需凭直觉盲目调整配置，底层引擎会调用基于可满足性模理论的 SMT 求解器 (例如 Z3 工具) 对当前安全策略进行全局推演。

有人试图在配置文件中，赋予智能体执行外部未知脚本的权限时，求解器会瞬间通过逻辑推导发现此举违背了沙盒层级约束原则，当场阻断配置生效并发出警报。

深入内核的系统调用拦截哨卡

智能体再聪明、内部逻辑再隐蔽，只要它想读写文件或者连接网络，最终都必须老老实实通过底层操作系统，暴露出系统调用接口去申请资源。控制住系统调用大门，就掐住了智能体的安全命门。

抽象的权限模型，与底层的 Linux 系统调用接口之间横亘着巨大的语义鸿沟。模型层面仅仅用读取和写入两个简单的词语来概括文件操作，真实的系统调用库中却躺着数百个功能重叠、历史遗留的复杂指令。

开发者专门设计了策略编译器，将高级别安全规范逐条翻译成对应系统调用序列的管控规则。单纯一个发送文件的操作，在底层牵扯到数据从文件搬运到套接字的过程，编译器会自动识别并同时核验数据源的读取权限与目的地的写入权限。

为了在不拖慢系统运行速度的前提下精准拦截每一次越权试探，方案引入了伯克利包过滤器 (BPF) 技术。

这项原本用于网络流量分析的内核设施，允许开发者将定制好的轻量级程序，安全地注入到内核空间运行，无需修改任何核心源码。

监控器使用极低层级的钩子截获所有系统调用的入口事件。BPF 程序在内核态迅速捕获请求，识别出具体的系统调用编号，随后通过尾调用机制将控制权，瞬间移交给特定编号对应的处理程序。

整套流程完全在底层原生代码环境里跑完，性能损耗微乎其微。

u64 on_sys_enter(tp_ctx *ctx){u64 sys_nr = ctx[1];tail_call(prog_arr, sys_nr, args);}

得益于 BPF 优秀的动态加载特性，安全策略能够在不中断宿主机运行的前提下随时热更新。

以最常见的文件读取指令为例，底层的处理程序被触发后，会立刻从内存上下文中提取系统调用的原始参数，精准剥离出目标文件的描述符，再进一步反查出对应的真实文件路径。

拿到确凿的路径与操作类型证据后，程序立刻转身向提前编译好的规则库进行比对核验，一旦发现智能体企图触碰不该碰的目录，在内核层予以拦截退回。​​​​​​​

u64 on_read(tp_ctx *ctx){u64* args=ctx[0];u64 fd=args[0], *buf=args[1];u64 count=args[2];u8* path=bpf_map_lookup(fd);check(path, buf, count);

针对智能体在运行过程中随时可能从外网拉取并尝试执行的陌生代码，监控器会自动套用最小权限原则。

它复用相同的用户态内核技术，在智能体的主工作区内部利索地切割出一个权限更受限的执行域。外部脚本只能在指定的区域内处理无关紧要的数据，永远无法穿透沙盒去触碰外围的核心资产。

有了这套依靠严密逻辑与底层拦截构筑的防线，无论智能体的内部模型产生何种诡异的幻觉，或是外部黑客注入了何等巧妙的越狱提示词，只要违背了既定的系统调用边界规则，一律被当场斩断。

ClawLess 框架，为越来越强大的自主AI智能体安全保障，提供了原则基础。

参考资料：

https://arxiv.org/pdf/2604.06284v1