ClawLess – 南方科技大學等推出的AI Agent安全框架

ClawLess是什麼

ClawLess 是南方科技大學與香港科技大學聯合推出的 AI Agent 安全框架。框架基於”最壞情況”威脅模型，通過形式化驗證的安全策略與 BPF 系統調用攔截技術，爲 OpenClaw、Claude Code 等自主智能體提供數學級安全保障。框架引入線性時序邏輯實現動態權限管控，採用 SMT 求解器驗證策略一致性，在不依賴 Agent 內部邏輯的前提下，從系統調用源頭阻斷越權行爲與數據泄露風險。

ClawLess的主要功能

• 形式化安全建模：建立基於實體、作用域與權限的數學化安全模型，將文件、進程、套接字等系統資源納入統一的形式化定義框架。
• 動態時序權限管控：引入線性時序邏輯實現運行時動態策略調整，根據 Agent 歷史行爲自動收緊或放寬訪問權限，避免靜態規則過度限制可用性。
• SMT 策略一致性驗證：通過 SMT 求解器（如 Z3）對安全策略進行自動化形式化推演，在配置生效前檢測並阻斷違背沙盒層級約束等邏輯衝突。
• BPF 內核調用攔截：用 BPF 程序掛載至內核系統調用入口，用原生代碼性能實時捕獲並覈驗每一次資源請求，精準攔截越權操作。
• 外部腳本沙盒隔離：在 Agent 主容器內部切割出更低權限的獨立執行域，對從網絡下載的不可信腳本實施最小權限隔離，防止惡意載荷橫向移動。

ClawLess的技術原理

• 最壞情況威脅建模：基於”能力假設”與”惡意假設”建立極端威脅模型，將 AI Agent 及其所在容器軟件棧全部劃爲不可信組件，安全機制不依賴 Agent 內部邏輯。
• 用戶態內核隔離：採用 gVisor 作爲可信監控層，在不可信 Agent 與脆弱宿主機內核之間插入精簡的用戶態內核代理，攔截並代理幾乎所有內核交互請求。
• 形式化策略編譯：設計策略編譯器彌合高層形式化權限模型與底層 Linux 系統調用接口之間的語義鴻溝，將抽象安全規範逐條翻譯爲具體系統調用管控規則。
• BPF 系統調用攔截：用 BPF 程序的 raw_tracepoint 鉤子掛載至 sys_enter 事件，通過尾調用機制將系統調用編號分發至對應處理程序，在內核態完成權限覈驗與攔截。
• 憑證可見性語義：引入”Visible”權限替代傳統讀取權限，使 Agent 能在當前執行域中引用憑證完成外部服務校驗。

如何使用ClawLess

• 部署隔離基座：在 Linux 宿主機上部署並配置用戶態內核環境（如 gVisor），作爲 Agent 運行的隔離容器基座。
• 定義安全策略：用 ClawLess 形式化語言定義系統實體集合、作用域層級及所需的安全策略命題。
• 驗證策略一致性：調用 SMT 屬性驗證器（如 Z3）對策略配置進行自動推演，確保無邏輯衝突後進入編譯流程。
• 編譯攔截規則：運行 ClawLess 策略編譯器，將驗證通過的形式化模型轉換爲 rules.json 系統調用攔截規則。
• 加載內核監控：加載 BPF 監控程序至內核空間，通過 raw_tracepoint 鉤子實時捕獲 Agent 發起的所有系統調用。
• 實時權限校驗：BPF 程序識別調用編號並覈對規則庫，對越權操作在內核態直接攔截，合法調用則放行。
• 外部腳本隔離：對 Agent 運行時下載的外部腳本自動注入外部沙盒，用最小權限原則限制其執行範圍。

ClawLess的關鍵信息和使用要求

• 研發團隊：南方科技大學可信自主系統研究院與香港科技大學計算機系聯合團隊
• 論文地址：arXiv:2604.06284v1（2026 年 4 月 7 日）
• 核心技術：形式化安全模型、線性時序邏輯（LTL）、SMT 求解器（Z3）、BPF 系統調用攔截、用戶態內核（gVisor）
• 運行環境：Linux 系統，需支持 BPF（較新內核版本）
• 目標對象：OpenClaw、Claude Code、OpenCode 等自主 AI Agent
• 隔離層級：Agent 容器（不可信）+ 外部腳本沙盒（更低權限）+ 監控器（可信）

ClawLess的核心優勢

• 數學級安全保障：基於形式化驗證與 SMT 求解器，確保策略無邏輯死角。
• 不依賴 Agent 內部邏輯：從系統調用層面強制攔截，無視 LLM 黑盒行爲與越獄提示詞。
• 動態自適應：線性時序邏輯支持運行時根據行爲歷史調整權限，平衡安全與可用性。
• 低開銷高性能：BPF 內核原生執行，無需修改內核源碼，支持策略熱更新。
• 兼容性強：用戶態內核方案保留與宿主環境的高互操作性，不影響 Agent 任務執行。

ClawLess的項目地址

• arXiv技術論文：https://arxiv.org/pdf/2604.06284v1

ClawLess的同類競品對比

ClawLess的應用場景

• 企業級 AI 編程助手部署：防止 Claude Code、OpenClaw 等工具在自主執行代碼時越權訪問敏感代碼庫或外泄數據。
• 雲端多租戶 Agent 服務：爲不同用戶的 AI Agent 提供細粒度隔離，確保惡意 Agent 無法突破容器攻擊宿主機或其他租戶。
• 金融數據自動化處理：在 Agent 讀取客戶敏感財務信息後，自動封鎖其網絡外發通道，防止數據泄露。
• 開源智能體安全加固：爲社區開發的自主 Agent 提供開箱即用的安全容器封裝與策略驗證工具。