[Python] OpenClaw安全框架ClawKeeper：技能、插件、Watcher三层次综合防护方案

由北京邮电大学、北京智源人工智能研究院、中国信息通信科技集团联合推出的 ClawKeeper，是首个面向 OpenClaw 生态的全维度、全生命周期、可进化的智能体安全框架。

它通过“技能-插件-观察者”三层协同防护架构，旨在破解当前 AI 智能体安全防护碎片化、被动化、静态化的行业痛点，为高权限智能体提供实时、全面、可进化的安全保护。这不仅是一个工具，更可能成为智能体时代的安全基础设施。

• 论文地址：https://arxiv.org/abs/2603.24414
• GitHub 地址：https://github.com/SafeAI-Lab-X/ClawKeeper

OpenClaw 能力扩容，安全风险迫在眉睫

作为主流的开源自主智能体运行平台，OpenClaw 凭借工具调用、本地文件访问、Shell 命令执行、跨平台部署等强大能力，成为 AI 智能体落地应用的核心载体，广泛应用于自动化办公、代码辅助、长期运行个人智能体等场景。

但伴随权限提升与生态扩张，其安全隐患也愈发突出。提示词注入、敏感数据泄露、权限滥用、恶意技能执行、远程代码执行漏洞等风险频发，轻则导致智能体行为失控、数据外泄，重则引发系统级安全事故。

研究指出，当前 OpenClaw 生态的安全防护方案存在四大核心短板：

1. 防护覆盖碎片化，仅针对单一威胁或智能体生命周期某一环节。
2. 安全与任务效率相互掣肘，智能体需在完成任务与合规防护间妥协。
3. 以事后日志分析为主的被动防御，无法提前阻断风险。
4. 静态规则无法适配智能体自我进化与新型攻击迭代，防护效果持续衰减。

ClawKeeper：面向智能体时代的安全基础设施

ClawKeeper 突破传统防护思路，打造技能层、插件层、观察者层三位一体的实时安全框架，覆盖智能体指令解析、运行时执行、系统级监管全流程，实现从被动防御到主动干预、从静态规则到动态进化的升级。

• Skill-based（技能级别防护）：指令层面的安全规则注入。立足智能体指令构建阶段，将结构化安全策略以标准化形式嵌入智能体上下文，从源头约束行为边界。
• Plugin-based（插件级别防护）：运行时内部的强制安全监控。作为智能体运行时的 “内置安全管家”，通过配置加固、主动威胁检测、行为扫描等机制，全程监控执行链路。
• Watcher-based（监管者级别防护）：解耦式系统级安全中间件。这是 ClawKeeper 最具突破性的设计——一个独立于业务智能体的外部监控器，作为专属安全监管智能体，实时捕获运行状态、验证行为轨迹，无需耦合智能体内部逻辑即可实现高危操作阻断。

技能级别防护：指令层面的安全规则注入

技能级防护工作在智能体指令理解与技能执行的最上游，从任务启动阶段就建立安全约束。它不再依赖零散的提示词约束，而是把系统操作、文件访问、软件交互等安全策略，整理为结构化、可直接被模型理解的规则文档，稳定注入到智能体的上下文环境中。

在防护范围上，它全面覆盖 Linux、Windows、macOS 等操作系统，并对文件读写、命令执行等行为做出明确限制。同时，它也面向飞书、钉钉、Telegram 等通信软件做专项安全约束，防止智能体在对话场景中无意泄露密钥或敏感信息。

为了让安全能力更主动，ClawKeeper 还在技能层内置了定时安全扫描与交互日志总结能力。智能体可自动按周期巡检环境风险、汇总近期操作行为，形成可追溯的安全记录。

技能级防护凭借轻量化、无侵入、易部署的特性，成为快速搭建基础安全防线的首选方案。但它高度依赖大模型对安全指令的理解与执行，易被对抗性提示词绕过，安全保障强度有限。

插件级别防护：运行时内部的强制安全监控

插件级防护以硬编码、强约束、全流程审计的方式，成为 OpenClaw 执行过程中 “无法绕过” 的内部安全守门人。它深度集成在 OpenClaw 运行时内部，直接接管关键执行链路，整合威胁检测、行为扫描、配置保护、日志审计等能力。

在防护能力上，插件层首先对 OpenClaw 进行系统性安全加固：扫描暴露端口、弱权限等 OWASP 典型风险，并自动执行修复。同时，它对 AGENTS.md、openclaw.json、SOUL.md 等核心配置文件做加密哈希校验，任何未授权篡改都会被实时拦截。

在运行阶段，插件层会全程记录智能体生命周期行为：用户指令、LLM 输入输出、工具调用序列等全部上链存证。基于完整日志，它能异步回溯扫描，精准识别提示注入、恶意技能调用、密钥泄露等隐蔽威胁。

插件级防护为 OpenClaw 提供稳定可靠的内置安全能力。但它与智能体框架深度耦合，跨平台兼容性较弱，且依赖静态规则库，对新型未知威胁的自适应能力不足。

监管者级别防护：解耦式系统级安全中间件

Watcher 级防护跳出传统 “内置安全” 思路，以独立、解耦、外部监管的方式，打造智能体体系里的专属安全 “监工”。它不再是嵌入 OpenClaw 的技能或插件，而是一个完全独立的安全智能体，以外部中间件的身份，通过标准化通信接口与业务智能体实时连接。

这种架构让安全监管与任务执行彻底分离：业务智能体专心完成任务，Watcher 只负责安全校验。运行时，Watcher 会持续接收来自插件层的实时行为数据流，对智能体的每一步操作进行独立安全诊断。一旦发现高危行为、异常循环等风险，它可直接触发干预：暂停执行、阻断操作、强制人工确认，甚至终止运行。

这一架构带来三大革命性优势：

1. 抗篡改、难绕过：Watcher 独立于业务智能体进程之外，无法被指令卸载、禁用或篡改。
2. 安全与性能解耦：Watcher 专职保障安全，业务智能体全力提升效率。
3. 可进化、可追溯：作为智能体，Watcher 可自主学习新威胁、更新安全策略；所有安全决策外部可查、可审计。

Watcher 同时支持本地与云端部署，既适用于个人智能体，也能支撑企业级多智能体集群安全管控。

定性分析：真实场景验证，全链路防护可落地

研究团队在真实 OpenClaw 环境中开展大量案例测试，从各层分别验证防护效果。

第一层、技能级别防护：在指令解析阶段介入，将结构化安全策略注入智能体上下文。这一机制可识别经混淆处理的恶意指令（如 Base64 载荷），并拒绝执行潜在代码注入行为；在应用软件层（如飞书），可实时识别并阻止敏感信息外发。

此外，系统提供的周期性环境扫描与交互日志总结，分别用于发现系统异常和提升行为可审计性。

第二层：插件级别防护：以内嵌方式对智能体进行全流程监控。针对“供应链攻击”，Plugin 层提供了针对技能的深度静态扫描，例如识别 curl | bash 等高风险远程执行模式。

其次，通过对历史交互进行统一日志记录与静态分析，能够在多轮对话中识别复杂攻击路径，如提示词注入。

第三层：监管者级别防护：Watcher 作为独立智能体，具备直接干预执行流程的能力。通过持续监控，一旦检测到高风险行为，Watcher 可以立即介入，例如中断可疑命令执行并强制用户确认。

或在异常情况下终止任务，避免系统陷入错误循环。

定量评估：全方位攻防测试，防护成功率达 85%–90%

为了客观验证 ClawKeeper 的真实防御能力，研究团队构建了覆盖七大典型威胁场景的安全评测基准，包含提示注入、敏感数据泄露、权限越界、高危命令执行、配置篡改、OWASP 漏洞检测、恶意技能安装等，总计 140 个对抗样本。

实验对比了 OpenGuardrails、ClawSec、OSPG、SecureClaw 等当前主流开源安全方案。结果显示，ClawKeeper 在全部七类任务上均大幅超越现有方案，防御成功率稳定达到 85%–90%。而传统安全工具普遍存在防护碎片化，最多仅覆盖 2–3 类威胁。

此外，团队专门验证了 Watcher 的自进化能力：随着处理的威胁样本不断增加，Watcher 可自主更新安全策略，防御成功率从初始约 90% 逐步提升至 95%，而技能/插件类防护因规则固定，无法实现自适应提升。

结语

从大模型到智能体，AI 正在从“对话工具”演进为“执行主体”，安全问题的重要性正在迅速提升。ClawKeeper 的出现，补上了自主智能体规模化落地的关键一块拼图。

它不再是零散的补丁，而是从内到外、从静到动、从防御到监管的完整安全体系；它不仅守护 OpenClaw，更以通用可迁移的 Watcher 范式，为整个智能体生态提供了可复用、可进化的安全范式。让智能体更强大，也更安全，这正是 ClawKeeper 带给 AI 时代的真正价值。

对开源项目和安全防护感兴趣的开发者，可以访问 云栈社区 获取更多相关技术讨论和资源。