ClawLess

ClawLess：AI Agent 的坚实盾牌

在人工智能代理（AI Agent）日益普及的今天，其潜在的安全风险也随之凸显。南方科技大学与香港科技大学的联合研发团队，倾力打造了 ClawLess，一个性的 AI Agent 安全框架。该框架以“最坏情况”为核心威胁模型，融合了形式化验证的安全策略和 BPF（Berkeley Packet Filter）系统调用拦截技术，为 OpenClaw、Claude Code 等自主智能体提供了数学级的安全保障，堪称 AI Agent 的坚实盾牌。

ClawLess 的独特之处

ClawLess 并非简单的沙箱技术。它引入了线性时序逻辑，实现了精细化的动态权限管控。这意味着安全策略可以根据 Agent 的实时行为进行智能调整，而非僵化的静态规则。同时，它巧妙地运用 SMT 求解器（如 Z3）来验证策略的一致性，确保在策略生效前就能够发现并消除潜在的逻辑冲突。更重要的是，ClawLess 的安全机制不依赖于 AI Agent 内部的任何逻辑，而是直接从系统调用源头进行拦截，有效阻断了越权访问和数据泄露的风险。

ClawLess 的核心能力概览

• 严谨的安全模型构建：ClawLess 建立了一个基于实体、作用域和权限的数学化安全模型。它将文件、进程、网络套接字等所有系统资源都纳入一个统一的形式化定义框架，为安全策略的制定打下坚实基础。
• 动态、自适应的权限管理：通过引入线性时序逻辑，ClawLess 能够在 Agent 运行时动态调整其访问权限。Agent 的历史行为会被分析，权限会根据实际情况自动收紧或放宽，从而在保证安全性的同时，最大限度地提升 Agent 的可用性。
• SMT 驱动的策略一致性校验：在策略部署之前，ClawLess 会利用 SMT 求解器对安全策略进行全面的自动化推演。这一过程能够有效地识别并阻止任何违反沙盒层级约束或其他逻辑冲突的配置，确保策略的严谨性。
• BPF 加持的内核级系统调用拦截：ClawLess 利用 BPF 程序直接挂载到 Linux 内核的系统调用入口。这使得它能够以原生代码的性能，实时捕获并校验每一次资源请求，从而精准地拦截任何越权操作。
• 针对外部脚本的强化隔离：对于 Agent 从外部下载的、可能包含不信任代码的脚本，ClawLess 会在 Agent 主容器内部创建一个更低权限的执行环境。这种最小权限隔离策略，能够有效防止恶意载荷在 Agent 环境内横向扩散。

ClawLess 的技术基石

• “最坏情况”威胁建模：ClawLess 的设计哲学是假设 AI Agent 及其运行环境中的所有软件栈都可能存在恶意行为。因此，其安全机制不依赖于 Agent 自身的内部状态或信任。
• 用户态内核隔离的桥梁：ClawLess 选用 gVisor 作为可信的监控层。它在不可信的 AI Agent 与底层的 Linux 内核之间，部署了一个轻量级的用户态内核代理，负责拦截和代理几乎所有的内核交互请求。
• 形式化策略到系统调用的转换：ClawLess 的策略编译器充当了高层形式化权限模型与底层 Linux 系统调用接口之间的语义桥梁。它将抽象的安全规范逐条转化为具体的系统调用管控规则。
• BPF 实现的内核态拦截：通过 BPF 程序的 `raw_tracepoint` 钩子，ClawLess 能够精确地捕获 `sys_enter` 。利用尾调用机制，系统调用编号被分发到相应的处理程序，在内核态完成权限的核验与拦截。
• “凭证可见性”语义的创新：ClawLess 引入了“Visible”权限的概念，用于替代传统的读取权限。这使得 Agent 可以在其当前的执行域内，仅凭证引用即可完成外部服务的校验，而无需直接暴露敏感数据。

如何驾驭 ClawLess

• 准备隔离的基座：首先，在 Linux 宿主机上部署并配置好用户态内核环境（如 gVisor），为 Agent 运行提供一个隔离的容器基础。
• 精心定义安全策略：使用 ClawLess 提供的形式化语言，精确定义系统实体集合、作用域层级以及所需的全部安全策略命题。
• 进行策略一致性校验：调用 SMT 属性验证器（如 Z3），对您定义的策略配置进行自动推演，确保不存在任何逻辑冲突，然后进入编译流程。
• 编译生成拦截规则：运行 ClawLess 策略编译器，将通过验证的形式化模型转化为 `rules.json` 文件，其中包含了具体的系统调用拦截规则。
• 加载内核监控程序：将 BPF 监控程序加载到 Linux 内核空间。通过 `raw_tracepoint` 钩子，它将实时捕获 Agent 发起的每一个系统调用。
• 实施实时权限校验：BPF 程序会识别系统调用编号，并与规则库进行比对。任何越权操作都会在内核态被直接拦截，而合法的调用则会被放行。
• 为外部脚本提供安全隔离：对于 Agent 在运行时下载的外部脚本，ClawLess 会自动将其注入一个的沙盒环境，并遵循最小权限原则严格限制其执行范围。

ClawLess 的关键要素与使用前提

• 研发力量：该框架由南方科技大学可信自主系统研究院与香港科技大学计算机系联合团队倾力研发。
• 技术论文：相关研究成果已发表在 arXiv:2604.06284v1（2026 年 4 月 7 日）。
• 核心技术亮点：形式化安全模型、线性时序逻辑（LTL）、SMT 求解器（Z3）、BPF 系统调用拦截、用户态内核（gVisor）等前沿技术。
• 运行环境要求：需要在 Linux 系统上运行，并且需要较新版本的内核以支持 BPF 功能。
• 目标应用对象：主要面向 OpenClaw、Claude Code、OpenCode 等自主 AI Agent。
• 分层隔离架构：ClawLess 构建了多层隔离体系：Agent 容器（被视为不可信）、外部脚本沙盒（更低权限）、以及可信的。

ClawLess 的核心优势所在

• 数学级的安全保障：凭借形式化验证和 SMT 求解器的强大能力，ClawLess 确保了安全策略的逻辑严谨性和无懈可击。
• 对 Agent 内部逻辑的性：通过在系统调用层面进行拦截，ClawLess 能够有效抵御 LLM 的黑盒行为和恶意“越狱”提示词，其安全性不受 Agent 内部逻辑的影响。
• 动态自适应的安全策略：线性时序逻辑的引入，使得安全策略能够根据 Agent 的实时行为历史进行动态调整，实现了安全与可用性的完美平衡。
• 低开销、高性能的运行效率：BPF 程序在内核态原生执行，无需修改内核源码，并且支持安全策略的热更新，保障了高效的性能。
• 卓越的兼容性：采用用户态内核方案，最大限度地保留了与宿主环境的互操作性，不会对 Agent 的正常任务执行造成干扰。

ClawLess 的项目资源链接

• arXiv 技术论文：https://arxiv.org/pdf/2604.06284v1

ClawLess 与竞品对比分析

ClawLess 的应用场景展望

• 企业级 AI 编程助手安全部署：有效防止 Claude Code、OpenClaw 等工具在自主执行代码时，对敏感代码库进行非法访问或泄露关键数据。
• 云端多租户 Agent 服务隔离：为云环境中运行的各个 AI Agent 提供精细化的隔离，确保恶意 Agent 无法突破容器限制，威胁宿主机或其他租户的安全。
• 金融数据自动化处理的风险控制：在 AI Agent 读取客户敏感财务信息后，能够自动其网络外发通道，从源头上杜绝数据泄露的可能性。
• 开源智能体安全性的普遍加固：为社区开发的各类自主 Agent 提供一套开箱即用的安全容器封装和策略验证工具，提升整体安全性。