文章总结： ClawAegis为OpenClaw类智能体构建了五层纵深防御架构，覆盖从可信基座到执行控制的全生命周期安全防护。核心特性包括运行时防御（Skill投毒检测、记忆污染防护、意图对齐校验）和可配置防御（敏感资产保护、安全运营策略）。该架构通过主动防御机制动态保障智能体运行安全，为安全运营人员和终端用户提供灵活的风险管理能力。 综合评分： 87 文章分类： 安全建设,AI安全,解决方案,安全运营,应用安全

ClawAegis：类智能体的安全纵深防御架构

原创

Yang Yang

AI+网络安全笔记

2026年4月16日 19:21 北京

在小说阅读器读本章

去阅读

信息来源：

https://github.com/antgroup/ClawAegis/blob/main/README_zh.md

ClawAegis为OpenClaw类智能体构建了一套多维度的智能体安全纵深防御架构，实现从大模型智能体在各种Claw从初始化到执行的全生命周期五层安全防御，覆盖智能体执行服务中的安全性和可靠性风险，包括skill投毒、记忆污染、意图对齐、恶意执行、资源耗尽等。作为内置的轻量化安全插件，ClawAegis可以在OpenClaw的关键阶段主动发起防御机制，动态保障智能体运行时的安全。此外，ClawAegis还面向安全运营人员提供风险识别与处置策略可配置能力，以灵活、可拓展地应对智能体运行时安全威胁；面向普通用户提供敏感文件及Skill资产保护能力，以保障个人隐私和资产安全。

架构

ClawAegis 为 OpenClaw 构建了一套多维度的纵深防御架构，实现从初始化到执行终端的全生命周期安全闭环。该体系由以下五个核心防护层组成：

• 可信基座层防御

  — 确保底层环境的可信度，从初始化阶段夯实系统安全根基。

• 感知输入层防御

  — 对内部和外部指令进行严格过滤与审核，拦截恶意注入或高风险请求。

• 认知状态层防御

  — 实时监控智能体的内部状态，防止记忆恶化上下文污染。

• 决策对齐层防御

  — 在逻辑生成环节进行意图校验，确保输出决策与用户真实意图一致，模糊意图要求用户二次确认，消除意图偏离风险。

• 执行控制层防御

  — 在最终操作前实施权限管理，确保所有指令都在安全边界内受控执行。

通过这种层层递进的机制，ClawAegis 确保了 OpenClaw 在每一个关键链路环节都具备细致的风险对冲能力，将潜在威胁消弭于无形。此外，作为内置的安全插件，不同于提示词、Skill类防御等被动防御机制，ClawAegis可以在OpenClaw的关键阶段主动发起防御机制，动态保障运行时的安全。

核心特性

运行时防御

ClawAegis 提供一组覆盖智能体全生命周期的内置运行时防御能力，无需额外配置即可自动检测和缓解威胁。

• 五层纵深防御

  — 覆盖意图扫描、工具调用治理、工具结果审查、资产保护和输出安全，贯穿九个OpenClaw生命周期钩子。

• Skill投毒防御

  — 启动时及运行期间持续扫描Skill内容，检测试图绕过审批、禁用安全控制或篡改受保护资产的恶意载荷。

• 记忆污染防护

  — 拒绝对持久化记忆存储（memory_store、MEMORY.md、SOUL.md、memory/）的可疑或超大写入，防止跨会话的持久化提示词投毒。

• 意图与提示词安全

  — 检测用户消息中的越狱尝试、密钥窃取请求和插件篡改意图，并向提示词注入安全上下文以影响后续模型推理。

• 工具调用治理

  — 在工具执行前拦截高危Shell命令、编码/混淆载荷、写后执行链、重复变异循环以及SSRF/数据泄露链。

• 工具结果审查

  — 将外部工具输出视为不可信输入，扫描其中的提示词注入、密钥请求和权限提升模式，防止其影响下一步推理。

• 输出脱敏

  — 在助手输出发送或存储前，遮蔽API密钥、令牌及类似敏感值。

进阶可配置防御

在内置运行时防御之上，ClawAegis 为安全运营人员和终端用户提供可配置的控制面，支持进阶风险管理和资产保护。

• 可配置安全运营

  — 运营人员可通过allDefensesEnabled全局启用所有防御，通过defaultBlockingMode设置全局基线，并可逐项覆盖selfProtectionMode、commandBlockMode、memoryGuardMode、exfiltrationGuardMode等独立控制。每项防御均支持enforce、observe和off三种模式，实现从监控到主动拦截的渐进式部署。运营人员还可定义protectedPaths、protectedSkills和protectedPlugins来匹配其环境中的关键资产，并通过startupSkillScan 提前识别风险Skill。检测结果以运行时观测、拦截动作和提升的提示词告警形式呈现，为防御者提供可操作的分类与响应信号。

• 敏感文件与Skill资产保护

  — 敏感文件和目录可添加到 protectedPaths，对未授权的读取、写入、删除和篡改进行拦截或观测。高价值Skill和重要插件可通过 protectedSkills 和 protectedPlugins 注册，防止Skill和插件资产被删除、覆盖或补丁式篡改。自保护机制降低智能体关闭自身防御或静默改写安全配置的风险。对个人用户而言，这意味着私人笔记、文档和自定义Skill得到更安全的处理；对组织而言，这意味着运维手册、审计插件和安全关键配置获得更强的保护。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI+网络安全笔记 Yang Yang《ClawAegis：类智能体的安全纵深防御架构》