OpenClaw 的多层防御体系

大多数人以为 Prompt Injection 就是”能不能用一句话覆盖系统提示词”。但在 Agent 系统里，问题远比这复杂。

以 OpenClaw 为例，拆解了它的三层防御体系：

第一层：运行时动态装配
模型看到的不是一段 Prompt，而是系统骨架 + 项目上下文 + 工具定义 +
运行时信息组成的完整输入平面。用户输入只是其中一部分，无法直接替换框架规则。

第二层：消息优先级 + Safety 显式规则
防御靠的不是”先读后读”的顺序，而是优先级：System Prompt > 开发者 > 用户 >
历史回复。”忽略之前规则”这类话术直接被高优先级 Safety 规则拦截。

第三层：工具层门禁（真正的硬边界）
Prompt 只能塑形意图，工具层才裁决动作。exec 命令要经过可用性检查→语义检查→审批→沙箱策略，任何一关不过都不执行。

核心结论：信任延迟，验证前置。
Prompt 是建议层，工具实现才是裁决层。纯 Prompt Injection 难以突破，真正的威胁来自”注入+架构漏洞”的组合攻击。

收藏备用，转发给做安全的同行！

#PromptInjection #AI安全 #OpenClaw #Agent安全 #AI攻防 #网络安全 #大模型安全 #渗透测试 #信息安全