OpenClaw也要装“杀毒软件”？ClawKeeper盯住「龙虾」每一步

ClawKeeper 把技能、插件和 Watcher 接到一起把 OpenClaw 安全从零散防护做成完整体系。近日由北京邮电大学、北京智源人工智能研究院、中国信息通信研究院联合推出 ClawKeeper —— 首个面向 OpenClaw 生态的全维度、全生命周期、可进化的智能体安全框架。以“技能-插件-观察者”三层协同防护架构破解当前 AI 智能体安全防护碎片化、被动化、静态化的行业痛点为高权限智能体提供实时、全面、可进化的安全保护。这不仅是一个工具更是智能体时代的安全基础设施。相关研究论文已同步上线项目开源仅数日便收获业界广泛关注。论文地址https://arxiv.org/abs/2603.24414GitHub 地址https://github.com/SafeAI-Lab-X/ClawKeeperOpenClaw 能力扩容安全风险迫在眉睫作为当下主流的开源自主智能体运行平台OpenClaw 凭借工具调用、本地文件访问、Shell 命令执行、跨平台部署等强大能力成为 AI 智能体落地应用的核心载体广泛应用于自动化办公、代码辅助、长期运行个人智能体等场景。但伴随权限提升与生态扩张其安全隐患愈发突出提示词注入、敏感数据泄露、权限滥用、恶意技能执行、远程代码执行漏洞等风险频发轻则导致智能体行为失控、数据外泄重则引发系统级安全事故。论文指出当前 OpenClaw 生态的安全防护方案存在四大核心短板防护覆盖碎片化仅针对单一威胁或智能体生命周期某一环节安全与任务效率相互掣肘智能体需在完成任务与合规防护间妥协以事后日志分析为主的被动防御无法提前阻断风险静态规则无法适配智能体自我进化与新型攻击迭代防护效果持续衰减。ClawKeeper面向智能体时代的安全基础设施ClawKeeper 突破传统防护思路打造技能层、插件层、观察者层三位一体的实时安全框架覆盖智能体指令解析、运行时执行、系统级监管全流程实现从被动防御到主动干预、从静态规则到动态进化的升级。Skill-based技能级别防护指令层面的安全规则注入立足智能体指令构建阶段将结构化安全策略以标准化形式嵌入智能体上下文从源头约束行为边界覆盖系统环境与跨软件交互场景低成本实现基础安全合规适配多平台部署需求。Plugin-based插件级别防护运行时内部的强制安全监控作为智能体运行时的 “内置安全管家”通过配置加固、主动威胁检测、行为扫描、配置文件保护等硬编码机制全程监控执行链路封堵已知漏洞、拦截恶意操作实现静态到动态的全流程防护。Watcher-based监管者级别防护解耦式系统级安全中间件ClawKeeper 最具突破性的设计 —— 独立于业务智能体的外部监控器作为专属安全监管智能体实时捕获运行状态、验证行为轨迹无需耦合智能体内部逻辑即可实现高危操作阻断、人工确认介入彻底解决安全与任务的冲突抵御对抗性篡改还能随威胁进化持续迭代。技能级别防护指令层面的安全规则注入技能级防护是 ClawKeeper 面向 OpenClaw 智能体打造的轻量化、易部署、广兼容的前端安全屏障工作在智能体指令理解与技能执行的最上游从任务启动阶段就建立安全约束。它不再依赖零散的提示词约束而是把系统操作、文件访问、软件交互、权限使用等安全策略整理为结构化、可直接被模型理解的规则文档稳定注入到智能体的上下文环境中让安全要求成为执行任务时必须遵守的“默认准则”。在防护范围上它不只关注传统 Linux 环境还全面覆盖 Windows、macOS 等大众操作系统针对文件读写、命令执行、进程操作等行为做出明确限制。同时它面向飞书、钉钉、Telegram 等通信软件做专项安全约束防止智能体在对话场景中无意泄露密钥、凭证、隐私内容或向错误联系人发送敏感信息。为了让安全能力更主动ClawKeeper 还在技能层内置了定时安全扫描与交互日志总结能力智能体可自动按周期巡检环境风险、汇总近期操作行为形成可追溯的安全记录既不侵入框架底层也不需要复杂配置就能实现全交互周期的基础安全合规。技能级防护凭借轻量化、无侵入、易部署的特性成为快速搭建基础安全防线的首选方案可在多系统与多软件平台下实现前端规则约束。但它高度依赖大模型对安全指令的理解与执行易被对抗性提示词绕过安全保障强度有限无法单独承担核心防护任务。插件级别防护运行时内部的强制安全监控插件级防护是 ClawKeeper 在智能体运行时层的核心加固手段以硬编码、强约束、全流程审计的方式成为 OpenClaw 执行过程中 “无法绕过” 的内部安全守门人。不同于技能层的规则注入插件级防护深度集成在 OpenClaw 运行时内部直接接管关键执行链路从静态配置加固到动态行为监控形成闭环防护。它整合威胁检测、行为扫描、配置保护、日志审计等能力一次性补齐当前零散插件的防护短板实现真正的纵深防御。在防护能力上插件层首先对 OpenClaw 进行系统性安全加固扫描暴露端口、弱权限、明文凭证、未授权访问等 OWASP 典型风险并自动执行修复把网关绑定本地、锁定关键配置、注入安全基线从根源缩小攻击面。同时它对 AGENTS.md、openclaw.json、SOUL.md 等核心配置文件做加密哈希校验任何未授权篡改都会被实时拦截防止被恶意关闭安全机制、植入后门。在运行阶段插件层会全程记录智能体生命周期行为用户指令、LLM 输入输出、工具调用序列、Shell 执行记录等全部上链存证不丢不漏。基于完整日志它能异步回溯扫描精准识别提示注入、恶意技能调用、密钥泄露、高危命令执行、异常高频操作等隐蔽威胁让事后追溯与风险定位变得简单可行。插件级防护以运行时强管控、低性能开销、全链路审计的优势为 OpenClaw 提供稳定可靠的内置安全能力可有效完成配置加固、威胁检测与行为回溯。但它与智能体框架深度耦合跨平台兼容性较弱且依赖静态规则库对新型未知威胁的自适应能力不足。监管者级别防护解耦式系统级安全中间件Watcher 级防护是 ClawKeeper 最具颠覆性的核心设计它跳出传统 “内置安全” 思路以独立、解耦、外部监管的方式打造智能体体系里的专属安全 “监工”从根本上解决任务执行与安全保障的内在冲突。它不再是嵌入 OpenClaw 的技能或插件而是一个完全独立的安全智能体以外部中间件的身份通过标准化通信接口与业务智能体实时连接。这种架构让安全监管与任务执行彻底分离业务智能体专心完成任务Watcher 只负责安全校验互不干扰、互不妥协。运行时Watcher 会持续接收来自插件层的实时行为数据流包括上下文状态、工具调用、多轮交互、执行轨迹等对智能体的每一步操作进行独立安全诊断。一旦发现高危行为、异常循环、越权操作、提示注入等风险它可直接触发干预暂停执行、阻断操作、强制人工确认甚至终止运行实现真正的实时防御。这一架构带来三大革命性优势抗篡改、难绕过Watcher 独立于业务智能体进程之外无法被指令卸载、禁用或篡改从根源封堵 “绕过安全” 的攻击路径。安全与性能解耦不再让智能体在 “完成任务” 和 “遵守安全” 之间二选一Watcher 专职保障安全业务智能体全力提升效率。可进化、可追溯作为智能体Watcher 可自主学习新威胁、更新安全策略不断提升防御精度所有安全决策外部可查、可审计让安全过程透明可信。Watcher 同时支持本地与云端部署本地部署保护隐私云端部署支持批量统一监管既适用于个人智能体也能支撑企业级多智能体集群安全管控。凭借解耦架构、强干预能力与通用适配性Watcher 范式不仅是 ClawKeeper 的 “终极防线”更有望成为下一代自主智能体系统的通用安全基石。定性分析真实场景验证全链路防护可落地、可感知研究团队在真实 OpenClaw 环境中开展大量案例测试从技能层、插件层、Watcher 层分别验证防护效果证明 ClawKeeper 可在实际使用中可靠拦截风险、不破坏正常业务流程。第一层、技能级别防护系统 软件双边界防护ClawKeeper 在指令解析阶段就介入将结构化安全策略注入智能体上下文使其在生成行为前就具备风险判断能力从源头减少被恶意提示词“带偏”的可能。这一机制同时覆盖系统与应用两个层面在操作系统层可识别经混淆处理的恶意指令如 Base64 载荷并拒绝执行潜在代码注入行为在应用软件层如飞书可实时识别敏感信息外发并进行安全提醒。此外系统还提供周期性系统级别的环境扫描与软件场景的交互日志总结分别用于发现系统异常和提升行为可审计性。第二层插件级别防护 —— 运行时硬审计机制Plugin 层以内嵌方式对智能体进行全流程监控通过硬编码规则实现对配置、行为和日志的统一管理。针对日益猖獗的“供应链攻击”Plugin 层提供了针对技能的深度静态扫描例如识别 “curl | bash” 等高风险远程执行模式并给出修复建议。其次面对复杂多变的交互过程对历史交互进行统一日志记录与静态分析能够在多轮对话中识别如提示词注入、敏感数据窃取等复杂攻击路径。第三层监管者级别防护 —— 独立监管实时干预区别于前两层防护Watcher 作为独立智能体存在专门负责安全监管并具备直接干预执行流程的能力。通过持续监控交互上下文与工具调用一旦检测到高风险行为Watcher 可以立即介入例如中断可疑命令执行并强制进入用户确认流程在异常情况下终止任务避免系统陷入错误循环或失控状态。定量评估全方位攻防测试防护成功率达 85%–90%为了客观验证 ClawKeeper 的真实防御能力研究团队构建了覆盖七大典型威胁场景的安全评测基准包含提示注入、敏感数据泄露、权限越界、高危命令执行、配置篡改、OWASP 漏洞检测、恶意技能安装等总计 140 个对抗样本。实验对比了 OpenGuardrails、ClawSec、OSPG、SecureClaw 等当前主流开源安全方案以防御成功率DSR为核心指标。结果显示ClawKeeper 在全部七类任务上均大幅超越现有方案防御成功率稳定达到 85%–90%。而且传统安全工具普遍存在防护碎片化最多仅覆盖 2–3 类威胁而 ClawKeeper 实现全类别、全覆盖。此外团队专门验证了 Watcher 的自进化能力随着处理的威胁样本不断增加Watcher 可自主更新安全策略防御成功率从初始约 90% 逐步提升至 95%而技能 / 插件类防护因规则固定无法实现自适应提升。结语从大模型到智能体AI 正在从“对话工具”演进为“执行主体”安全问题的重要性正在迅速提升。ClawKeeper 的出现补上了自主智能体规模化落地的关键一块拼图。它不再是零散的补丁而是从内到外、从静到动、从防御到监管的完整安全体系它不仅守护 OpenClaw更以通用可迁移的 Watcher 范式为整个智能体生态提供了可复用、可进化的安全范式。让智能体更强大也更安全 —— 这正是 ClawKeeper 带给 AI 时代的真正价值。更多阅读#投 稿 通 道#让你的文字被更多人看到如何才能让更多的优质内容以更短路径到达读者群体缩短读者寻找优质内容的成本呢答案就是你不认识的人。总有一些你不认识的人知道你想知道的东西。PaperWeekly 或许可以成为一座桥梁促使不同背景、不同方向的学者和学术灵感相互碰撞迸发出更多的可能性。PaperWeekly 鼓励高校实验室或个人在我们的平台上分享各类优质内容可以是最新论文解读也可以是学术热点剖析、科研心得或竞赛经验讲解等。我们的目的只有一个让知识真正流动起来。稿件基本要求• 文章确系个人原创作品未曾在公开渠道发表如为其他平台已发表或待发表的文章请明确标注• 稿件建议以markdown格式撰写文中配图以附件形式发送要求图片清晰无版权问题• PaperWeekly 尊重原作者署名权并将为每篇被采纳的原创首发稿件提供业内具有竞争力稿酬具体依据文章阅读量和文章质量阶梯制结算投稿通道• 投稿邮箱hrpaperweekly.site• 来稿请备注即时联系方式微信以便我们在稿件选用的第一时间联系作者• 您也可以直接添加小编微信pwbot02快速投稿备注姓名-投稿△长按添加PaperWeekly小编现在在「知乎」也能找到我们了进入知乎首页搜索「PaperWeekly」点击「关注」订阅我们的专栏吧·