核心用法
Agent Passport 是面向AI代理时代的细粒度权限管理系统,采用"任务授权(Mandate)"替代传统的全有或全无权限模式。用户通过命令行工具 mandate-ledger.sh 为代理创建具有明确约束的授权凭证,涵盖金融交易、邮件通信、文件操作、系统命令、API调用及身份代理六大敏感行为类别。
典型工作流程:
1. 初始化:运行 init 注册代理身份,建立本地账本
2. 授权:使用模板(如 dev-tools、email-team)或自定义参数创建任务授权,指定允许范围、金额上限、有效期(TTL)及速率限制
3. 执行检查:代理在执行敏感操作前必须调用 check-action 验证权限
4. 日志记录:授权操作完成后,代理需调用 log-action 记录执行详情
5. 审计追溯:通过 audit 命令查看完整操作历史
系统支持通配符匹配(如 *@company.com、 git *)、紧急冻结开关(kill switch)、以及 KYA(Know Your Agent)身份验证元数据。
显著优点
精细化权限控制:突破传统"允许/拒绝"二元模式,支持多维度约束组合——金额上限、商户白名单、路径限制、速率控制、有效期等,大幅降低过度授权风险。
审计完备性:完整的操作日志链(授权创建→权限检查→执行记录),满足合规追溯需求,支持JSON格式导出备份。
代理行为契约:明确定义代理必须遵守的规则(何时检查、如何请求、禁止行为),将安全责任从系统层面延伸到代理行为层。
完全离线运行:无需API密钥、不发起网络请求,所有数据存储于本地 ~/.openclaw/agent-passport/,隐私可控。
模板化快速配置:预置10种常用场景模板,30秒完成典型开发环境或办公场景的权限配置。
潜在缺点与局限性
依赖代理自觉遵守:安全机制的有效性高度依赖代理正确调用 check-action 并遵守行为契约,恶意或故障代理可能绕过检查。
本地单点限制:当前版本仅支持单机单代理场景,缺乏多设备同步、多代理协调及组织级策略管控(Agent Bridge功能尚在路线图)。
无主动拦截能力:系统仅提供"查询-响应"式授权检查,不强制拦截系统调用、网络请求或文件操作,需配合外部沙箱或操作系统权限机制实现底层防护。
命令行门槛:主要面向技术用户,普通终端用户可能需要代理辅助完成配置操作。
适合人群
- 开发者与技术人员:需要为本地AI助手(如Claude Code、Cursor Agent)配置精细化权限边界的用户
- 隐私敏感用户:不愿将授权数据上传至云端,追求完全离线权限管理的个人
- 安全研究人员:探索代理行为约束与 consent-gating 架构的实践者
- 小型团队:在共享开发环境中需要基础审计追踪能力,但暂无需企业级IAM集成的场景
常规风险
1. 代理绕过风险:若代理实现存在缺陷或被提示注入攻击诱导,可能跳过权限检查直接执行敏感操作
2. 账本篡改风险:本地JSON存储缺乏加密或防篡改机制,攻击者获取shell权限后可伪造授权记录
3. TTL配置失误:过长有效期或过度宽松的通配符规则可能导致权限 lingering
4. KYA验证局限:自注册的代理身份元数据缺乏第三方背书,无法防范代理身份欺骗
5. kill switch误操作:紧急冻结功能虽可快速止损,但也可能成为拒绝服务攻击的利用点(通过诱导用户触发)