💡 站外导读:随着自主AI Agent(如OpenClaw、Claude Code)在代码开发、数据处理等领域的广泛应用,其‘黑盒’行为带来的越权访问、数据泄露等安全风险日益凸显。传统基于规则或容器的防护机制难以应对其动态、不可预测的交互模式,行业亟需一种能从根本上保障安全的新范式。在此背景下,南方科技大学与香港科技大学联合推出了ClawLess安全框架,旨在为下一代AI智能体构建可验证的坚固防线。
ClawLess是什么
ClawLess 是南方科技大学与香港科技大学联合推出的 AI Agent 安全框架。框架基于”最坏情况”威胁模型,通过形式化验证的安全策略与 BPF 系统调用拦截技术,为 OpenClaw、Claude Code 等自主智能体提供数学级安全保障。框架引入线性时序逻辑实现动态权限管控,采用 SMT 求解器验证策略一致性,在不依赖 Agent 内部逻辑的前提下,从系统调用源头阻断越权行为与数据泄露风险。
阅读目录
ClawLess的主要功能
- 形式化安全建模:建立基于实体、作用域与权限的数学化安全模型,将文件、进程、套接字等系统资源纳入统一的形式化定义框架。
- 动态时序权限管控:引入线性时序逻辑实现运行时动态策略调整,根据 Agent 历史行为自动收紧或放宽访问权限,避免静态规则过度限制可用性。
- SMT 策略一致性验证:通过 SMT 求解器(如 Z3)对安全策略进行自动化形式化推演,在配置生效前检测并阻断违背沙盒层级约束等逻辑冲突。
- BPF 内核调用拦截:用 BPF 程序挂载至内核系统调用入口,用原生代码性能实时捕获并核验每一次资源请求,精准拦截越权操作。
- 外部脚本沙盒隔离:在 Agent 主容器内部切割出更低权限的独立执行域,对从网络下载的不可信脚本实施最小权限隔离,防止恶意载荷横向移动。
ClawLess的技术原理
- 最坏情况威胁建模:基于”能力假设”与”恶意假设”建立极端威胁模型,将 AI Agent 及其所在容器软件栈全部划为不可信组件,安全机制不依赖 Agent 内部逻辑。
- 用户态内核隔离:采用 gVisor 作为可信监控层,在不可信 Agent 与脆弱宿主机内核之间插入精简的用户态内核代理,拦截并代理几乎所有内核交互请求。
- 形式化策略编译:设计策略编译器弥合高层形式化权限模型与底层 Linux 系统调用接口之间的语义鸿沟,将抽象安全规范逐条翻译为具体系统调用管控规则。
- BPF 系统调用拦截:用 BPF 程序的 raw_tracepoint 钩子挂载至 sys_enter 事件,通过尾调用机制将系统调用编号分发至对应处理程序,在内核态完成权限核验与拦截。
- 凭证可见性语义:引入”Visible”权限替代传统读取权限,使 Agent 能在当前执行域中引用凭证完成外部服务校验。
如何使用ClawLess
-
部署隔离基座:在 Linux 宿主机上部署并配置用户态内核环境(如 gVisor),作为 Agent 运行的隔离容器基座。
-
定义安全策略:用 ClawLess 形式化语言定义系统实体集合、作用域层级及所需的安全策略命题。
-
验证策略一致性:调用 SMT 属性验证器(如 Z3)对策略配置进行自动推演,确保无逻辑冲突后进入编译流程。
-
编译拦截规则:运行 ClawLess 策略编译器,将验证通过的形式化模型转换为 rules.json 系统调用拦截规则。
-
加载内核监控:加载 BPF 监控程序至内核空间,通过 raw_tracepoint 钩子实时捕获 Agent 发起的所有系统调用。
-
实时权限校验:BPF 程序识别调用编号并核对规则库,对越权操作在内核态直接拦截,合法调用则放行。
-
外部脚本隔离:对 Agent 运行时下载的外部脚本自动注入外部沙盒,用最小权限原则限制其执行范围。
ClawLess的关键信息和使用要求
-
研发团队:南方科技大学可信自主系统研究院与香港科技大学计算机系联合团队
-
论文地址:arXiv:2604.06284v1(2026 年 4 月 7 日)
-
核心技术:形式化安全模型、线性时序逻辑(LTL)、SMT 求解器(Z3)、BPF 系统调用拦截、用户态内核(gVisor)
-
运行环境:Linux 系统,需支持 BPF(较新内核版本)
-
目标对象:OpenClaw、Claude Code、OpenCode 等自主 AI Agent
-
隔离层级:Agent 容器(不可信)+ 外部脚本沙盒(更低权限)+ 监控器(可信)
ClawLess的核心优势
-
数学级安全保障:基于形式化验证与 SMT 求解器,确保策略无逻辑死角。
-
不依赖 Agent 内部逻辑:从系统调用层面强制拦截,无视 LLM 黑盒行为与越狱提示词。
-
动态自适应:线性时序逻辑支持运行时根据行为历史调整权限,平衡安全与可用性。
-
低开销高性能:BPF 内核原生执行,无需修改内核源码,支持策略热更新。
-
兼容性强:用户态内核方案保留与宿主环境的高互操作性,不影响 Agent 任务执行。
ClawLess的项目地址
- arXiv技术论文:https://arxiv.org/pdf/2604.06284v1
ClawLess的同类竞品对比
| 对比维度 | ClawLess | 标准 Docker 容器 | 虚拟化/机密容器(Kata/CoCo) |
|---|---|---|---|
| 安全假设 | 最坏情况(Agent 终将恶意) | 依赖宿主机内核安全 | 硬件级隔离 |
| 策略验证 | SMT 形式化验证 | 无 | 无 |
| 动态权限 | 支持 LTL 时序逻辑动态调整 | 静态 ACL/Namespace | 静态配置 |
| 系统调用拦截 | BPF 内核级精准拦截 | 依赖内核 namespace/cgroup | 硬件 VM 边界隔离 |
| 宿主互操作性 | 高(用户态内核代理) | 高 | 低 |
| 部署门槛 | 中等(需 BPF 支持) | 低 | 高(需硬件支持) |
| 性能开销 | 低(BPF 原生执行) | 低 | 较高 |
ClawLess的应用场景
-
企业级 AI 编程助手部署:防止 Claude Code、OpenClaw 等工具在自主执行代码时越权访问敏感代码库或外泄数据。
-
云端多租户 Agent 服务:为不同用户的 AI Agent 提供细粒度隔离,确保恶意 Agent 无法突破容器攻击宿主机或其他租户。
-
金融数据自动化处理:在 Agent 读取客户敏感财务信息后,自动封锁其网络外发通道,防止数据泄露。
-
开源智能体安全加固:为社区开发的自主 Agent 提供开箱即用的安全容器封装与策略验证工具。
📝 站长洞察 (Editor’s Insight)
ClawLess的推出标志着AI安全从‘事后补救’向‘事前形式化证明’的范式转移。其核心洞见在于:与其信任不可预测的LLM,不如在系统层面建立不可绕过的强制隔离。通过结合形式化方法(LTL/SMT)与现代内核技术(BPF),它实现了安全策略的数学可验证性与系统调用的微秒级精准拦截,这在业内是领先的。这不仅解决了当前AI Agent落地的信任瓶颈,更预示着未来可信AI系统将普遍采用‘安全-by-Construction’(安全内生)的设计哲学。对于企业而言,采用此类框架是部署高风险自主Agent的前提,也将催生对具备形式化验证与系统安全工程能力的新一代AI基础设施的需求。ClawLess的开源与否,将决定其能否成为行业事实标准。
