OpenClaw、OpenCode、Hermes Agent 等已经拥有极高的自主决策能力它们能进行逻辑推理和任务规划还能全网搜集资料并跑起各种复杂的代码。伴随强大能力一同到来的是能够彻底击穿现有防御体系的安全黑洞。南方科技大学和香港科技大学的研究团队推出的 ClawLess 框架给 AI 智能体套上一个在最坏情况下依然牢不可破的数学级安全枷锁从底层系统调用源头扼杀任何出格行为。ClawLess 框架将经过形式化验证的抽象安全策略翻译成底层的系统调用拦截指令让智能体在极度受限的牢笼里乖乖干活防止了其内部黑盒可能酝酿的种种越权企图。假设所有的智能体终将叛变传统软件的安全防护建立在清晰的信任边界与可预测的指令之上。传统的软件系统只会去指定的服务器拉取数据执行程序员写死在代码里的指令在固定的权限里本本分分地运作。智能体完全颠覆了常识。它们自主从各种未知的网络源头获取海量信息完全失去了安全输入与恶意输入之间的分界线。给智能体分配权限是一个棘手的难题。为了顺畅完成任务它们需要读写文件、连通网络甚至执行系统程序。给予高权限极易引发灾难把权限卡得太死又会让它们彻底罢工变成废物。传统软件工程里百试百灵的最小权限原则面对不可控的黑盒大模型失去了效力。拥有高度自主权的AI系统常规的防御手段统统失效。试图用静态代码分析、去预测大模型的非确定性输出宛如在赌场里预测下一张发出的底牌。单纯用提示词去教导大模型向善或者通过训练去压制其作恶倾向根本无法提供理论层面的安全保障。黑客完全可以通过在公开网页上植入一段含有底层逻辑漏洞细节的恶意文本诱导前去抓取信息的智能体轻松逃逸出沙盒容器。设计防御方案必须立足于最悲观的极端情况。ClawLess 团队因此确立了两个残酷的基础假设假定智能体聪明具备能力对任何安全机制发起成体系的复杂攻击假定智能体脆弱由于长期暴露在未经清洗的网络输入中迟早会被恶意提示词诱导至黑化叛变。基于上述假设系统安全彻底放弃寄托于智能体自身智能体及其所在的容器软件栈全部划为不可信组件并予以隔离。硬件底层与执行安全监控的特定软件层作为可信的基石被严密保护。对于智能体从外部网络下载的各类脚本文件防线会再往后退一步在不可信的区域内建立权限更低的独立沙盒严防含有恶意载荷的外部代码冲击主系统。寻找完美的物理隔离牢笼隔离需要一个坚不可摧的执行容器。业界现有的几种主流安全容器方案存在巨大的体验与安全落差。标准的 Docker 容器在部署便捷度上表现好复用宿主机内核的控制组和命名空间机制来运行应用程序。但也留下了致命的安全缺口。庞大且臃肿的 Linux 内核一旦出现漏洞整个容器防线瞬间土崩瓦解。过去10年间Linux 爆出了37个通用漏洞披露 (CVE)其中包含5个评分超过9.0的高危漏洞。虚拟化技术 Kata Container 与机密容器 CoCo 走向了安全性的另一个极端。它们利用硬件扩展技术甚至可信执行环境 (TEE) 将容器彻底封装起来连虚拟机管理器都被排除在信任代码库之外。物理级别的强隔离阻断了智能体与宿主环境之间的交互通道导致智能体无法顺畅完成很多涉及系统底层的任务。严苛的运行条件也让这类方案很难在普通的云环境中大规模铺开。用户态内核方案User-space Kernel巧妙地平衡了严苛的隔离诉求与顺畅的交互体验。以 gVisor 为代表的用户态内核在不可信的智能体和脆弱的宿主机内核之间强行插入了一层极为精简的可信防护网。它拦截并代理了几乎所有的内核交互请求自身仅作为宿主机上的一个普通用户进程运行。由于代码基数极小同时保留了极高的操作兼容性成为装载智能体的理想选择。编织动态验证的语义法则有了底层的物理牢笼还需要一套不存在任何逻辑死角的管理规矩。ClawLess 建立了一个细腻的形式化安全模型将系统内的文件、进程、套接字以及设备统统定义为可管理的实体。每一个实体都带有关联属性通过简单的正则表达式即可精准锁定特定目录下的敏感资源。权限模型涵盖了读取、写入、追加等常规操作外加剥夺执行权限的特殊控制。针对敏感的凭证信息开发团队专门引入了可见性语义。智能体在调用各类外部云服务时必须出示凭证放开读取权限意味着智能体能看到凭证的具体字符存在极大的泄露风险。赋予可见性权限后智能体可以在当前的执行域中引用对应的凭证完成校验全程无法窥探其中的哪怕一个字符从机制上杜绝了密码被大模型读取并偷偷发送到外部网络的可能性。将安全规则固化在系统启动的那一刻会带来极大的局限性。在静态模型下一旦系统同时赋予智能体读取敏感文件和访问外部套接字的权限无异于默许信息泄露。为了防范此类风险防御系统融入了线性时序逻辑。加入时间维度的状态判断后规则立刻变得鲜活起来。系统可以设定出严格的联动反应只要智能体在过去任何时间点读取了某个高度机密的文件系统立刻永久封锁其向外网发送数据的通道。所有的实体定义、权限划分与时序约束全部转化为严谨的形式化数学语言。开发者无需凭直觉盲目调整配置底层引擎会调用基于可满足性模理论的 SMT 求解器 (例如 Z3 工具) 对当前安全策略进行全局推演。有人试图在配置文件中赋予智能体执行外部未知脚本的权限时求解器会瞬间通过逻辑推导发现此举违背了沙盒层级约束原则当场阻断配置生效并发出警报。深入内核的系统调用拦截哨卡智能体再聪明、内部逻辑再隐蔽只要它想读写文件或者连接网络最终都必须老老实实通过底层操作系统暴露出系统调用接口去申请资源。控制住系统调用大门就掐住了智能体的安全命门。抽象的权限模型与底层的 Linux 系统调用接口之间横亘着巨大的语义鸿沟。模型层面仅仅用读取和写入两个简单的词语来概括文件操作真实的系统调用库中却躺着数百个功能重叠、历史遗留的复杂指令。开发者专门设计了策略编译器将高级别安全规范逐条翻译成对应系统调用序列的管控规则。单纯一个发送文件的操作在底层牵扯到数据从文件搬运到套接字的过程编译器会自动识别并同时核验数据源的读取权限与目的地的写入权限。为了在不拖慢系统运行速度的前提下精准拦截每一次越权试探方案引入了伯克利包过滤器 (BPF) 技术。这项原本用于网络流量分析的内核设施允许开发者将定制好的轻量级程序安全地注入到内核空间运行无需修改任何核心源码。监控器使用极低层级的钩子截获所有系统调用的入口事件。BPF 程序在内核态迅速捕获请求识别出具体的系统调用编号随后通过尾调用机制将控制权瞬间移交给特定编号对应的处理程序。整套流程完全在底层原生代码环境里跑完性能损耗微乎其微。u64 on_sys_enter(tp_ctx *ctx){u64 sys_nr ctx[1];tail_call(prog_arr, sys_nr, args);}得益于 BPF 优秀的动态加载特性安全策略能够在不中断宿主机运行的前提下随时热更新。以最常见的文件读取指令为例底层的处理程序被触发后会立刻从内存上下文中提取系统调用的原始参数精准剥离出目标文件的描述符再进一步反查出对应的真实文件路径。拿到确凿的路径与操作类型证据后程序立刻转身向提前编译好的规则库进行比对核验一旦发现智能体企图触碰不该碰的目录在内核层予以拦截退回。​​​​​​​u64 on_read(tp_ctx *ctx){u64* argsctx[0];u64 fdargs[0], *bufargs[1];u64 countargs[2];u8* pathbpf_map_lookup(fd);check(path, buf, count);针对智能体在运行过程中随时可能从外网拉取并尝试执行的陌生代码监控器会自动套用最小权限原则。它复用相同的用户态内核技术在智能体的主工作区内部利索地切割出一个权限更受限的执行域。外部脚本只能在指定的区域内处理无关紧要的数据永远无法穿透沙盒去触碰外围的核心资产。有了这套依靠严密逻辑与底层拦截构筑的防线无论智能体的内部模型产生何种诡异的幻觉或是外部黑客注入了何等巧妙的越狱提示词只要违背了既定的系统调用边界规则一律被当场斩断。ClawLess 框架为越来越强大的自主AI智能体安全保障提供了原则基础。参考资料https://arxiv.org/pdf/2604.06284v1