核心用法
Clawvisor 是一个面向 AI Agent 的安全网关层,核心模式为"先授权、后执行":
1. 凭证隔离:Agent 不持有任何 API 密钥,由 Clawvisor 托管并自动注入
2. 任务声明:每次会话需先创建 Task,明确目的、授权动作范围及是否自动执行
3. 双层校验:
4. 链式上下文:通过 session_id 追踪实体引用(如邮件 ID),防止跨会话攻击
- Restrictions(用户硬限制):匹配即拦截
- Tasks(任务作用域):需用户批准,支持
auto_execute自动执行或逐请求审批
典型工作流:获取服务目录 → 创建 Task(?wait=true 阻塞待批)→ 执行 Gateway 请求 → 完成任务。
显著优点
- 零密钥暴露架构:Agent 仅持有临时 Token,真实凭证永不离 Vault
- 细粒度授权:支持动作级、服务级、账户级控制,可设 "只读邮箱" 或 "可发邮件需审批"
- 人机协同审批:敏感操作(发送消息、删除数据)强制进入人工确认队列
- 意图验证(Intent Verification):LLM 验证请求理由与任务目的的一致性,防御提示注入
- 链式上下文安全:防止 "读取邮件 A 后发送至邮件 B 中的地址" 这类跨实体攻击
- 批量请求优化:支持并发多服务查询,减少往返延迟
潜在局限与风险
- 运维复杂度:需自建/托管 Clawvisor 服务,增加基础设施负担
- 审批延迟:
auto_execute: false或严格模式可能中断工作流,需用户实时响应 - Token 泄露风险:
CLAWVISOR_AGENT_TOKEN为高权限凭证,一旦泄露将导致全服务暴露 - 意图验证误杀:过度严格的验证可能将合理请求标记为
RESTRICTED - 单点依赖:Clawvisor 服务宕机将导致全部外部服务访问中断
适合人群
- 高安全需求场景:法律、金融、医疗等处理敏感数据的 AI 工作流
- 多服务集成环境:需统一管控 Gmail、Calendar、GitHub、iMessage 等的企业级 Agent
- 人机协同工作流:需要人类在环(Human-in-the-loop)审批的关键操作
常规风险
| 风险类型 | 说明 | 缓解措施 |
|---------|------|---------|
| Agent Token 泄露 | 高权限 Token 被窃取 | 专用 Token、最小权限、定期轮换 |
| 提示注入绕过审批 | 恶意内容诱导 Agent 越权 | 意图验证 + `data_origin` 溯源 |
| 任务范围过度授权 | 创建过大的 Standing Task | 遵循最小权限原则,定期审计 |
| 会话 ID 复用/遗漏 | Standing Task 未传 `session_id` | 强制校验,自动生成 UUID 链 |
| 服务可用性 | Clawvisor 单点故障 | 自托管时配置高可用部署 |