// 01 ClawLess 是什么
把 AI Agent 当成不可信进程来防护
ClawLess 来自 Hongyi Lu、Nian Liu、Shuai Wang、Fengwei Zhang 等研究者的论文《ClawLess: A Security Model of AI Agents》,arXiv 页面显示论文于 2026 年 4 月 7 日提交,主题归属为计算机安全与人工智能方向。公开作者资料显示,相关研究背景覆盖系统安全、内核安全、BPF、软件工程与 AI 安全。它不是面向普通用户的网页工具,也不是一个现成 Agent 平台,而是一套面向 AI Agent 的形式化安全模型与运行时强制执行框架。
ClawLess 的核心立场非常明确:不要假设 AI Agent 永远会听话,而要假设它可能被提示注入、恶意输入或外部内容诱导成不可信组件。随着 Agent 能够联网、读写文件、执行代码、调用工具和操作系统资源,安全问题已经不只是提示词约束问题,而是完整的系统安全问题。
它解决的问题
很多现有 Agent 安全方案依赖训练、对齐、系统提示词、规则过滤或普通容器隔离。这些方法可以降低风险,但很难提供根本性的安全保证。因为一旦 Agent 可以自主检索信息、生成脚本、运行命令和访问文件系统,它的行为就不再像传统程序那样容易静态分析。
ClawLess 关注的是更底层的问题:即使 Agent 本身已经变成对抗性组件,系统是否仍然能够强制限制它不能越权访问资源、外传数据或执行危险操作。这个方向更适合正在构建高权限 AI 助手、代码 Agent、企业自动化 Agent、SOC 安全 Agent 或本地桌面 Agent 的团队参考。
核心能力
- 采用 worst-case threat model,明确假设 Agent 本身可能是对抗性的,而不是只会偶尔犯错。
- 形式化定义系统实体、信任域和权限,用来表达 Agent 在不同运行状态下能访问什么、不能访问什么。
- 支持细粒度权限建模,不只包含传统读写权限,也关注可见性、执行控制和动态行为约束。
- 将高层安全策略转换为具体安全规则,并在运行时强制执行。
- 通过用户态内核与 BPF-based syscall interception 监控和拦截系统调用。
- 目标是在不依赖 Agent 内部模型、提示词或训练方式的情况下,实现外部可验证、可执行的安全边界。
- 论文目前公开为技术研究成果,未看到独立官网、商业产品、开源仓库或可直接安装的完整工具包。
如何使用
目前 ClawLess 更适合作为论文方法和安全架构参考,而不是直接下载安装到生产环境的工具。开发者可以阅读 arXiv 论文,重点理解它如何把 Agent 资源访问抽象成 entities、scopes、permissions,再通过策略验证、策略编译和运行时拦截落地。
- 先阅读论文,明确 ClawLess 的威胁模型和安全假设。
- 梳理自己的 Agent 系统中有哪些受保护资源,例如文件、网络、进程、凭证、数据库和外部工具。
- 按信任域划分 Agent、沙箱、监控组件和宿主系统。
- 为不同资源定义最小权限策略,避免 Agent 默认拥有过大访问范围。
- 在实际系统中,可参考其用户态内核、BPF 拦截和策略编译思路设计安全执行层。
典型使用场景
在 AI 编程 Agent 场景中,Agent 需要读取项目代码、运行测试和修改文件,但不应该读取用户密钥、系统凭证或无关目录。ClawLess 的思路可以帮助平台把“项目目录可写”和“敏感文件不可见”这类边界写成硬策略。
在企业自动化场景中,Agent 可能需要访问内部 API、数据库和文件系统。如果只靠提示词告诉它“不要泄露数据”,风险很高;如果用形式化权限和运行时拦截限制外传路径,安全边界会更可靠。
在安全运营场景中,SOC Agent 可能会分析日志、运行脚本、访问主机信息。ClawLess 这类模型适合用来约束 Agent 的调查权限,避免安全工具本身变成新的攻击面。
与同类方案的差异
ClawLess 与普通 sandbox 的差异在于,它不只是把 Agent 放进容器里,而是先定义安全语义,再把策略翻译成可执行规则。它与提示词 guardrail 的差异也很明显:guardrail 试图让 Agent 不做坏事,而 ClawLess 假设 Agent 可能会做坏事,然后限制它即使失控也不能突破边界。
如果只是轻量聊天机器人,普通权限控制和内容审核可能已经够用;如果 Agent 能运行代码、联网、读写文件或操作企业系统,ClawLess 的系统安全思路更值得研究。
价格与公开程度
ClawLess 目前公开形态主要是 arXiv 技术论文,没有看到商业定价、API 服务或可直接使用的产品入口。它的使用成本不是订阅费用,而是工程复现成本:需要系统安全、BPF、沙箱、策略建模和 Agent 运行时方面的能力。
真实优势与局限
ClawLess 的优势在于安全立场足够硬:它不把安全寄托在模型“足够听话”上,而是回到形式化策略、最小权限和运行时强制执行。这对高权限 AI Agent 平台很有启发。
局限也很清楚。它目前不是成熟商业工具,也不适合普通用户直接使用;论文路线的落地需要较强系统工程能力。它也不能覆盖所有风险,例如拒绝服务、底层内核漏洞、供应链风险或业务逻辑错误仍需要其他安全机制配合。因此,ClawLess 更适合作为 AI Agent 安全架构参考,而不是开箱即用的完整防护产品。
// 02 核心 功能
- 核心定位一套面向 AI Agent 的形式化安全模型与运行时强制执行框架。
- 分类索引当前归档在 最近收录AI,方便和同频工具横向比较。
- 能力标签关联标签包括 安全模型与运行时强制执行框架。
- 使用入口已记录可访问入口,可通过本页主按钮跳转。
// 03 使用 场景
- 快速判断是否适合当前任务结合 最近收录AI 定位和 安全模型与运行时强制执行框架 标签,先判断它是否匹配你的工作流。
- 横向比较同类工具从相同分类和标签继续探索替代工具,减少只看单个产品带来的选择偏差。
- 沉淀工具选型资料把官网入口、平台、版本和 NavXD 标签合并成一页,适合做选型记录或团队分享。
