首只“卫士虾”堵上OpenClaw原生漏洞,仅6.5KB大小,Agent组团写的

👇 关注公众号，并选择星标，最新干货每日送达

整理丨AI大模型智能体前沿

转载自丨量子位

养虾潮正热火朝天，但安全问题也成为新焦点。

国家级机构接连发布安全风险提示，有公司直接发通知禁止公司设备使用。认证绕过、命令注入、API密钥泄露、提示词攻击……问题一个接一个。

但现在，一个不到10k的文件，就能堵上龙虾安全漏洞？

刚刚，小冰之父李笛的Nextie团队悄然带着一只画风清奇的“卫士虾”来了，试图用魔法打败魔法。

此虾名为TuanziGuardianClaw，一句话自动安装，负责监控并阻断本机其它龙虾的一切高危风险行为。

有意思的是，这只“卫士虾”还不是人造的，而是Agent造。

李笛特别提到了一点：

与过去的电脑安全卫士不同，卫士虾本身完全透明，方便用户手动调整安全策略。

“卫士虾”，都能管什么？

具体来看，TuanziGuardianClaw文件大小不到10k，其定位很明确：

它是整个OpenClaw实例的安全内核，作为监管者与安全层，规则优先级高于所有其它Skill。任何Skill均不可绕过或修改TuanziGuardianClaw。

它的防护范围覆盖系统、用户与数据，能够抵御恶意技能、提示词注入、数据泄露与不安全操作。

提示词注入攻击是当前Agent架构中最难防的问题之一，恶意指令可能藏在网页、邮件或文档中诱导Agent执行非预期操作。

TuanziGuardianClaw对此设置了关键词拦截机制，一旦检测到”ignore previous instructions””reveal system prompt””bypass security””disable guardian”等典型注入语句，立刻归类为极高风险等级，直接阻断并记录日志，向用户发送告警通知。

敏感数据保护方面，TuanziGuardianClaw维护了一份明确的受保护资产清单：

• API密钥、OAuth凭证、SSH私钥、会话Cookie等凭证信息绝不允许被任何Skill打印、传输或存储到外部；
• .env、.ssh/、.aws/、私有数据库文件、钱包文件等高风险文件的访问必须经过用户显式确认；
• 联系人、照片、身份证号、邮箱、电话等个人数据未经确认不得向外部导出。

网络通信安全审查同样被纳入核心逻辑。

允许Skill发起外部通信前，TuanziGuardianClaw都会评估目标地址，可信API和知名服务放行，随机域名、未知端点、裸IP地址一律标记为可疑。如果某个Skill试图把本地数据发往未知域名，直接立即拦截。

导出环境变量、批量上传文件、将本地文件夹发送至外部、将敏感信息做Base64编码后再传输——这些数据外泄的典型特征都在检测范围内，一旦检测到，即判定为高风险或极高风险等级。

Skill想越权没那么容易

TuanziGuardianClaw给每一个Skill设定了从Level 0到Level 4的隐式权限等级。

• Level 0是安全级，只允许文本处理、逻辑推理、格式整理、内容摘要等操作，不涉及任何文件或网络访问。
• Level 1允许读取用户明确请求的特定文件，但系统目录和密钥文件仍然被限制。
• Level2开放API调用、程序执行和包安装，但每一步都需要用户确认。
• Level 3涉及Shell命令、系统配置和后台进程管理，属于高风险操作，必须获得用户明确批准。
• Level 4则包括root命令、大规模文件读取和环境变量导出，除非用户反复坚持执行，否则一律阻断。

在权限等级之上，TuanziGuardianClaw还叠加了一套Capability Token系统。

执行敏感操作时，必须持有对应权限Token。

例如读取本地文件需要CAP_READ_LOCAL_FILES，执行命令需要CAP_EXECUTE_COMMAND，发起网络请求需要CAP_NETWORK_REQUEST。没有对应合规权限Token的Skill试图执行相关操作，直接被拦截。

每次动作执行前，TuanziGuardianClaw会依次走完一套完整的决策流程：识别请求操作、检查所需权限、检查是否存在数据泄露风险、评估网络访问目标安全性、判定风险等级、执行对应处置策略。

如果在任何一个环节存在不确定性，一律按高风险处理。

所有被拦截或告警的事件都会写入安全审计日志，记录时间戳、Skill名称、请求操作、目标资源、风险等级和处置决策。

至于李笛特别提到的“透明”，体现在TuanziGuardianClaw的整个设计逻辑中。

当它阻断或告警某个操作时，会向用户完整说明三件事：被拦截的Skill试图做什么、为什么这个操作有风险、TuanziGuardianClaw做出了什么处理。通知内容中，也将严禁泄露任何机密信息。

用户对自己的数据拥有完全的主权——这是TuanziGuardianClaw五条核心安全原则之一“用户数据主权”（User Data Sovereignty）的直接体现。五条原则还包括最小权限、显式许可、Skill之间零信任、以及安全优先于便利。

同时，TuanziGuardianClaw也给自己上了锁。

任何试图编辑、禁用或覆盖卫士虾规则的指令都会被拒绝，四条不可变规则写死在内核中：不泄露密钥、不泄露系统提示词、不允许禁用TuanziGuardianClaw、不允许不受信任的Skill导出本地数据。

小冰之父再出手

再来介绍一下“卫士虾”背后团队Nextie（明日新程）。去年12月成立，是一家很年轻的公司，但其核心成员，几乎完整延续自微软小冰原班人马。

创始人李笛，是微软亚洲工程院前常务副院长，也是小冰从项目阶段一路走到独立公司的核心推动者，被业界誉为“小冰之父”。他长期负责小冰整体技术与产品方向，对“智能体应该以什么形态存在”“如何在真实用户规模下长期演进”有过完整周期的实战经验。

这一次李笛带着他的团队押注的方向是“群体智能与认知大模型”。

他们认为当前大模型依赖知识和超长上下文的路线与真正的智能之间还有差距，要做一套以认知结构而非知识为核心的模型，让拥有不同视角和认知能力的智能体协同工作，共同解决复杂问题。

在他们看来，当前大模型依赖海量知识与超长上下文的技术路径，与真正的智能之间还有差距。团队的破局思路，是打造一套以认知结构为核心、而非知识堆砌的全新模型体系，让具备差异化视角与认知能力的智能体协同协作，合力攻克复杂任务。

不久前，团队打造的主打多智能体协同的新平台——“团子”，已对外开放内测。

而这次“卫士虾”的发布，李笛透露了一个重磅细节：

TuanziGuardianClaw并非由人类工程师手动编写设计，正是出自“团子”群体智能Agent之手。