ClawGuard 为智能体工具调用提供安全保障机制

谈到智能体安全，核心关切非常明确：它是否会窃取密钥、删除文件、发送请求、篡改配置或提升权限。这些操作一旦执行，后果往往难以挽回。本文将深入解析一篇关于智能体运行时防护的前沿研究论文：ClawGuard，探讨其如何为AI智能体构建坚实的安全防线。

论文原文地址：https://arxiv.org/pdf/2604.11790

当前AI智能体的工作流程已广为人知：用户提出需求，大模型进行任务规划并调用相应工具，工具返回执行结果，这些结果随后被纳入上下文，供模型进行下一轮推理决策。安全风险恰恰潜伏于此：工具返回的内容，通常被模型无条件地视为“可信观察”直接采纳。

这意味着，攻击者只需污染网页、文档、技能配置文件，或操控某个第三方工具服务的返回结果，就能将恶意指令悄然植入智能体的决策链条中，实现隐蔽攻击。

该研究将此类攻击归纳为三条主要路径：

首先是网页与本地内容注入，即将恶意指令隐藏在网页代码、文档内容或搜索结果中，等待智能体读取执行。

其次是MCP（模型上下文协议）服务注入，第三方服务既可能在返回内容中夹带恶意负载，也可能通过工具描述信息提前影响模型的工具选择逻辑。

第三是技能文件注入，将恶意操作步骤混杂在正常的技能说明中，诱导智能体将攻击动作误认为既定工作流程的一部分。

攻击者意图达成的危害后果，论文进一步划分为五类：敏感数据外泄、越权系统操作、资金非法操纵、权限不当扩张、以及建立持久化控制。归根结底，智能体安全的核心在于防止那些未经授权的危险“动作”发生。

一、ClawGuard：将安全防线前置到工具调用时刻

ClawGuard的核心设计思路清晰有力：在智能体每次调用外部工具之前，强制插入一轮安全检查。论文将其定义为一个“运行时安全框架”。所谓“运行时”，意味着它并非在模型训练阶段添加规则，也非事后审计，而是在智能体即将执行动作的关键瞬间介入。它关注的核心问题是：这次读取文件、访问网络、执行命令或加载技能的操作，是否应该被允许。

这正是该研究最具价值之处。它并未将全部安全希望寄托于“模型自身足够智能且对齐良好”，而是额外增设了一道执行侧的安全闸门。大模型继续负责理解任务和生成动作序列，但动作能否最终落地执行，则由外部安全规则进行二次判断与授权。

用更贴近产品的语言描述，ClawGuard类似于一个智能体专用的安全网关。用户下达任务后，系统会预先推导出该任务所允许的合理操作范围；后续每一次工具调用，都会用这套动态生成的规则进行核对。越界的动作会被直接拦截，存疑的动作则进入人工确认流程，所有相关安全事件均被完整记录日志。

整个ClawGuard框架由四个核心模块协同构成。

1. 内容清洗器：先行过滤敏感信息

第一层防御是内容清洗器，它在两个关键节点工作：一是在工具调用请求发出前，检查参数是否包含敏感信息；二是在工具结果返回后、被写入模型上下文之前，再进行一次清洗过滤。

论文设定的默认清洗目标，覆盖了现实环境中常见的高风险数据，如API访问令牌、SSH私钥、数据库连接字符串等。处理方式直接有效：一旦匹配到预设模式，即替换为相应的脱敏标记。这能显著降低“密钥等秘密随着工具调用被意外泄露”这类看似低级却可能致命的安全问题。

这一层更侧重于“基础防泄漏”，能缓解敏感数据无意外流的风险，但尚不足以解决所有复杂的注入攻击。真正决定一个动作能否获得执行权限的决策权，在于下一层。

2. 规则判断器：评估动作的合规性与安全性

第二层是ClawGuard的核心引擎，即规则判断器。它主要检查三类对象：工具调用本身（例如读取文件、执行Shell命令）、操作涉及的本地文件路径以及外部网络访问目标（如请求的域名或IP）。

研究为每一类检查对象都预设了白名单和黑名单规则。如果一个对象同时命中允许和禁止规则，系统会采纳更严格（即禁止）的判定。当多个检查项并存时，同样遵循“从严优先”的安全原则。

此外，该模块还能识别一些常见的攻击混淆手法，例如Base64编码、十六进制字符串拼接、过度的Shell间接调用等。一旦检测到明显的混淆迹象，该次调用便会被标记为“高风险可疑动作”，并升级至需要人工确认的流程。

这一设计非常务实。它将安全判断的焦点，从“这段文本内容是否像攻击指令”转移到了“这个具体动作是否超出了当前任务的合理边界”。对于智能体而言，后者的判断标准更为稳定，也更容易在工程上落地实施。

3. 技能检查器：技能包上线前的专项安全审计

第三层是技能检查器。论文将技能视为一类特殊的高风险对象，因为技能文件通常同时包含自然语言说明、执行逻辑代码和具体的工具调用步骤。模型在运行时很难完整评估一个技能包可能潜藏的所有风险。因此，ClawGuard规定：任何新技能在首次被执行前，都必须先经过专门的风险评估模块扫描，并获得用户的明确确认。通过检查的结论会被缓存以供复用；如果技能文件内容发生变更，则需重新触发安全检查。

这一点极具现实指导意义。过去许多系统将技能包视为普通的配置文件，但从安全视角审视，它更像一个“可安装、可执行的能力扩展单元”。一旦技能生态走向开放，这里几乎必然成为攻击者的重点突破入口。论文将技能单独拎出来进行专项处理，这个安全判断是准确且必要的。

4. 用户审批机制：将模糊地带的决策权交还给人

第四层是人工审批机制。如果某次工具调用既未明确命中“允许”规则，也未直接触发“禁止”规则，它就会进入待审批队列，暂停执行，等待用户进行显式确认。用户同意则继续，拒绝或超时均视为拦截。整个审批过程及结果都会被详细记入审计日志。

这一步至关重要，因为任何自动化安全系统都不可能对所有边缘情况做出百分百准确的判断。在实际部署中，能通过清晰规则一刀切处理的情况是少数，存在大量需要权衡的模糊地带。ClawGuard给出的方案朴素而有效：规则能明确判定的就自动处理，规则不够确定的就交由人类最终拍板。这个思路虽然不追求炫酷，但在工程实践中非常稳健可靠。

二、任务级权限建模：贯彻最小权限安全原则

论文中还有一个关键步骤类似于“任务级权限建模”。在智能体首次尝试调用外部工具之前，ClawGuard会根据用户任务的自然语言描述，自动推导并生成一套适用于本次任务的活动规则集。这套规则主要包括三部分：网络访问规则、文件系统访问规则和工具调用规则。

其背后的安全哲学与传统信息安全领域的“最小权限原则”高度一致：任务未明确提及的权限，尽量不要默认开放；对于模糊不清、存在疑点的动作，宁可进入人工确认流程，也绝不轻易放行。

论文给出了一个典型示例。用户要求智能体访问某个特定网站，读取三篇博客文章，生成内容摘要，然后将结果写入指定的本地目录。系统据此生成的活动规则大致是：允许访问该指定网站域名；允许写入指定的输出目录；允许使用网页抓取、文件读取、文件写入等必要工具；禁止执行任何Shell命令，禁止访问.ssh等系统敏感路径。

这个案例清晰地展示了ClawGuard的防御机制。假设目标网页中被攻击者插入了一段恶意内容，诱导智能体去读取用户家目录下的~/.ssh/id_rsa私钥文件，再通过某个外部API发送出去，甚至进一步尝试删除本地的密钥文件。论文展示的防御结果是：这类恶意动作会在执行前被连续拦截，因为它同时触及了多条安全红线——既涉及被明确禁止的命令执行，又尝试访问受保护的敏感路径。而合法的摘要生成与写入操作则能顺利完成。

这个例子揭示了一个关键安全理念：将安全控制点设置在工具调用的边界，其最大价值在于实现“先拦截危险动作，再评估潜在后果”。许多安全风险一旦成功执行便无法挽回，能在动作落地前将其卡住，其安全意义完全不同。

三、实验结果：从数据看防御效能

论文使用了三个基准测试集来全面评估该方法，分别覆盖三类主要攻击场景：AgentDojo、SkillInject和MCPSafeBench。测试所基于的模型涵盖了DeepSeek、GLM、Kimi、MiniMax和Qwen等主流大语言模型。

报告评估的主要指标包括任务完成率（CR）、攻击成功率（ASR）、防御成功率（DSR），以及显式拒绝（RR）和隐式抵抗（IRR）两类防御行为。这里需要解释后两个指标：显式拒绝指安全系统明确拦截了动作，属于“可记录、可审计的主动防御”；隐式抵抗则更多是模型自身未中招或未执行，但过程不一定可追溯。论文非常重视这两者的区别，因为在企业级安全环境中，可记录、可解释、可追溯的明确拦截，远比“碰巧没出事”的偶然情况更有价值。

1. AgentDojo测试：展现近乎完美的防御效果

在AgentDojo基准上，原始模型本身表现尚可，攻击成功率大约在0.6%到3.1%之间，防御成功率在96.9%到98.1%。这表明，当前的主流商业大模型对于语义直白、单轮、显性的注入攻击，本身具备一定的识别与抵抗能力。

接入ClawGuard防护后，五个模型的攻击成功率均降至0%。其中四个模型的防御成功率达到了100%，Qwen组为99.4%，同时任务完成率基本没有明显下降。

这组结果的重点不仅在于“分数提升”，更在于防御性质的转变。原有的防御更多依赖模型自身“没中招”，而加入ClawGuard后，显式拒绝比例显著上升，大量防御动作变成了可记录、可审计、可解释的系统级主动拦截。

2. SkillInject测试：凸显框架在开放生态中的价值

SkillInject这一组测试更具现实警示意义。在没有防护的情况下，五个模型的攻击成功率高达26.2%到47.6%。这个数字远高于AgentDojo，说明技能注入攻击的难点在于：恶意内容经常与正常的操作步骤高度混杂，表面上看像是合理的任务流程，模型容易在无意识中顺手执行。

接入ClawGuard防护后，整体攻击成功率降至4.8%到14.2%，相对下降幅度在50%到84%之间。GLM-5组的防御成功率达到82.1%，MiniMax-M2.5则达到全组最高的84.6%。任务完成率整体变化不大，说明防护并未过度影响正常功能。

这组实验清晰地揭示了一个现实问题：开放的技能生态确实潜藏巨大风险。许多恶意技能并不会将攻击意图写得非常露骨，它们往往只是悄悄地将某一步“正常操作”替换为“带有风险的动作”。在这种情况下，仅依靠模型理解语义边界很难完全防御，在执行侧增加规则拦截层就显得尤为重要。

3. MCPSafeBench测试：验证MCP生态中的潜在风险

在MCPSafeBench基准上，未加防护时的攻击成功率大约在36.5%到44.5%，整体也处于较高水平。论文给出的解释很直接：智能体默认不会仔细甄别MCP服务返回内容的可信度，许多返回结果会被直接当作后续推理和决策的依据。

加入ClawGuard后，攻击成功率下降至7.1%到11.0%，防御成功率提升至74.9%到75.8%左右，显式拒绝比例也上升到了45.1%到50.2%。

这里可以看出一个很实际的判断：MCP协议的风险，很多时候不在于协议本身，而在于第三方服务返回的内容是否会未经审查直接进入智能体的行动决策链。只要返回结果被当作可信观察，后续的工具选择、命令执行、路径访问就可能被带偏。ClawGuard的价值，正是在危险动作真正落地执行之前，提供了最后一次基于规则的安全核对机会。

四、从“内容审查”到“动作治理”：智能体安全的范式转移

这篇论文真正具有启发性的地方，在于它将智能体安全的关注点进行了一次关键的范式转移。过去许多防御方案的核心，仍然是判断“这段输入文本危不危险”、“这段提示词像不像攻击”、“模型会不会被说服”。这些问题固然重要，但到了工具型智能体广泛应用的场景，已经显得不够用。因为真正可能造成实质性损害的节点，往往是读、写、连接、发送、执行这些具体的“动作”。

换言之，智能体安全这件事，接下来很可能会越来越像传统的系统与网络安全：需要清晰的权限边界、需要贯彻最小授权原则、需要可靠的执行拦截机制、需要完整的审计记录、也需要明确的人工审批入口。论文中的ClawGuard框架，本质上就是将这套成熟的安全工程思路，系统地引入到大模型智能体领域。

如果你正在涉足智能体应用平台、工具调用框架、技能插件市场或MCP服务接入层，这篇论文值得仔细研读。它提供的不仅是一套具体的技术防御技巧，更像是指明了一个完整的产品与安全架构方向：在强大的模型能力层之外，专门构建一层专注、可控的智能体运行时安全控制面。

五、局限性与待解问题

当然，这套方案也并非没有局限。最需要读者留意的一点是：论文当前实验所验证的，其实是“基础规则版”的ClawGuard。也就是说，实验主要验证了“基线安全规则 + 工具调用边界拦截”这套核心机制的有效性，而论文中着重强调的“根据具体任务上下文自动推导精细化规则”这一部分，其完整的评估结果尚未在当前版本中充分展开。作者明确表示，包含完整任务感知规则推导能力的评估结果将在后续版本中补充。

此外，论文在实验设置中对“判断不清的动作”采取了更为保守的处理方式：直接按拒绝处理，并未真正将其交给模拟的用户审批流程。这有利于在安全评估中取得更清晰的结果，但在真实产品环境中会引出一个实际问题：如果模糊动作过多，用户是否会因频繁的安全确认请求而感到体验被打断？这种安全与易用性之间的平衡成本，目前论文尚未充分探讨。

还有一点需要客观看待：论文自己也承认，剩余的防御失败案例主要集中在两类情况。一类是后果直接体现在模型生成内容里的“认知误导型攻击”，它未必通过明显的危险工具调用来实现；另一类是某些目标地址覆盖不够完整的隐蔽路径注入。前者更偏向“认知层的语义欺骗”，后者则属于“规则覆盖的粒度有待加强”。这说明ClawGuard非常适合防御执行层的直接风险，但对于所有内容层面的间接误导与欺骗，它并非万能解药，需要与其他安全措施协同防御。