# ClawLess: AI 代理安全模型

**作者**: Hongyi Lu, Nian Liu, Shuai Wang, Fengwei Zhang  
**机构**: 南方科技大学，香港科技大学  
**arXiv ID**: 2604.06284v1  
**领域**: 计算机安全 (cs.CR)  
**日期**: 2026年4月7日  

## 中文摘要

基于大语言模型的自主AI代理能够推理、规划和执行复杂任务，但其自主检索信息和运行代码的能力带来了重大安全风险。现有方法试图通过训练或提示来规范代理行为，但这无法提供根本性的安全保障。本文提出ClawLess，一个在最坏情况威胁模型下对AI代理强制执行形式化验证策略的安全框架，该模型假设代理本身可能是对抗性的。ClawLess形式化了一个细粒度的安全模型，涵盖系统实体、信任范围和权限，以表达适应代理运行时行为的动态策略。这些策略被转化为具体的安全规则，并通过增强BPF系统调用拦截的用户空间内核来强制执行。这种方法将形式化安全模型与实际执行相结合，确保安全性与代理的内部设计无关。

## 核心问题

自主AI代理的安全面临三个主要挑战：

1. **模糊的信任边界**：AI代理从多样化来源自主检索数据，模糊了可信与不可信输入之间的界限
2. **权限/可用性权衡**：AI代理需要多种权限来有效执行任务，但授予这些权限会带来安全风险
3. **自主软件的安全性**：传统安全机制无法适应LLM输出的非确定性特性

## 方法论贡献

### 1. 形式化安全模型
ClawLess建立了一个细粒度的安全模型，捕获系统多个领域中的实体、范围和权限，实现精确的安全策略规范。

### 2. 策略编译与执行
- **高层策略规范**：使用形式化方法定义安全策略
- **策略编译**：将高层策略转化为具体的系统调用规则
- **运行时执行**：通过用户空间内核和BPF拦截强制执行策略

### 3. 隔离架构
部署AI代理在安全容器中，使用用户空间内核提供保护，同时保持可用性。

## 关键发现

### 安全容器比较
| 容器类型 | 兼容性 | 互操作性 | 部署性 | 安全性 |
|---------|--------|----------|--------|--------|
| 标准Docker | 高 | 高 | 高 | 弱 |
| 用户空间内核 | 中 | 中 | 中 | 强 |
| 虚拟化 | 低 | 低 | 低 | 强 |
| 机密容器 | 低 | 低 | 低 | 最强 |

### 漏洞统计
- **标准Docker**：过去十年有37个CVE，其中5个是高危漏洞（CVSS > 9.0）
- **用户空间内核**：过去十年仅有1个CVE，在安全性和可用性之间取得平衡

## 核心概念

本文涉及以下关键概念：

- [[ClawLess]] - AI代理安全框架
- [[AI代理安全]] - 自主AI系统的安全挑战
- [[形式化安全模型]] - 使用数学方法定义的安全规范
- [[用户空间内核]] - 在用户空间实现的内核功能
- [[BPF系统调用拦截]] - 使用BPF技术拦截和控制系统调用
- [[安全容器]] - 提供隔离和保护的容器技术
- [[最坏情况威胁模型]] - 假设系统可能面临的最坏攻击场景

## 技术实现

### ClawLess架构
1. **策略层**：形式化安全策略定义
2. **编译层**：策略到系统调用规则的转换
3. **执行层**：用户空间内核 + BPF拦截
4. **隔离层**：安全容器部署

### 执行机制
- **BPF程序**：拦截系统调用并应用安全规则
- **用户空间内核**：提供可信执行环境
- **策略验证**：使用形式化方法验证策略正确性

## 与现有工作的比较

- **vs 训练/提示方法**：ClawLess不依赖代理合作，提供根本性安全保障
- **vs 传统容器**：提供更强的安全隔离和形式化验证
- **vs 其他安全框架**：首次针对自主AI代理的全面安全分析

## 意义与启示

ClawLess为保护系统免受潜在恶意自主AI代理的攻击提供了原则性基础，超越了基于训练/提示的方法，转向形式化验证和运行时执行。

## 相关论文

- [[ACE-LLM集成应用系统安全架构]]
- [[IsolateGPT-LLM代理系统执行隔离架构]]
- [[NeuroFilter-对话LLM代理隐私护栏]]

## 参考文献

1. Lu, H., Liu, N., Wang, S., & Zhang, F. (2026). ClawLess: A Security Model of AI Agents. arXiv:2604.06284v1.
2. 论文中引用的相关研究工作。

---
*创建时间: 2026-04-22*  
*最后更新: 2026-04-22*  
*Wiki集成: 已完成*