ClawAegis开源：为开源智能体装上“安全刹车”

4月2日，蚂蚁集团AI安全实验室联合清华大学正式开源一款名为ClawAegis的安全工具。这不是又一个概念性的“AI防护系统”，而是一个实实在在能用在日常开发和部署中的轻量插件——专为OpenClaw这类开源智能体框架设计，解决的是开发者们正在真实遭遇的问题：你的智能体，会不会在没人注意的时候，偷偷删了文件？会不会被一句看似无害的指令骗去访问数据库？会不会因为一个被污染的技能包，开始乱发消息、耗光服务器资源？

过去一年，OpenClaw等开源智能体框架在开发者圈里快速流行。不少人用它搭建自动写代码、处理表格、调API的“数字员工”。但随之而来的安全事件也越来越多：有人上传的“技能包”暗藏后门，一运行就窃取本地文件；有人在对话中故意诱导智能体执行`rm -rf /`；还有团队发现，智能体的记忆数据被篡改后，开始生成虚假报告，连测试人员都没察觉。

不是靠“AI检测”，而是直接拦在执行前

ClawAegis不搞复杂的模型分析，也不依赖“AI判断是否危险”。它的工作方式很直接：在OpenClaw的五个关键环节——初始化、用户输入、模型推理、决策生成、执行命令——埋下检查点。比如：

• 当智能体试图读取`/etc/passwd`或`~/.ssh/id_rsa`，它会直接阻断并记录；
• 当用户输入包含“绕过限制”“假装你是管理员”这类诱导语句，它会标记并提示操作者确认；
• 当某个技能包被安装，它会自动扫描其中是否含可疑系统调用或网络请求；
• 如果智能体连续10秒内发起超过50次API调用，它会自动暂停并发出告警。

这些规则不是死板的黑名单。开发者可以自己定义策略：比如公司内网的智能体允许访问特定数据库，但禁止外联；个人用的可以只拦删库、删文件这类高危操作。配置文件就一个YAML，改几行就能适配你的场景。

不用重装框架，插上就能用

你不需要重构项目，也不用学习新API。ClawAegis就是一个单独的Python包，安装命令就一行：

pip install clawaegis

然后在启动OpenClaw时加个参数：

openclaw --enable-security

它就会自动加载，在后台默默运行。对普通用户来说，完全无感——该干嘛干嘛；对运维和安全人员，后台会生成清晰的日志，记录每一次拦截行为，包括谁触发的、什么指令、被拦在哪个环节。出事了，回溯一查就知道问题出在哪。

不是第一次，也不会是最后一次

其实这已经不是蚂蚁和清华第一次帮OpenClaw“补漏”了。就在上个月，他们还协助修复了两个高危漏洞：一个是允许远程代码执行的插件加载缺陷，另一个是记忆存储未加密导致的敏感信息泄露。这次开源ClawAegis，是把“事后补丁”变成“事前防护”。

目前，工具已上架GitHub，文档齐全，社区里已有开发者在测试它和Docker、K8s的集成方案。下一步，团队计划接入更多开源智能体框架，比如AutoGPT和CrewAI，并开放“威胁情报共享”功能——如果某个恶意技能包被多人拦截，系统会自动汇总并推送给所有用户。

智能体不是魔法，它只是代码。而代码，永远需要有人盯着。ClawAegis不是要取代你的判断，而是帮你多看一眼——在你没注意到的时候，替你拦下那句可能毁掉整个系统的命令。