核心用法
Clawvisor 是一款面向 AI 智能体的安全网关中间件,用于代理访问 Gmail、Calendar、Drive、Contacts、GitHub 及 iMessage(macOS)等外部服务。其核心设计原则是智能体永不直接接触 API 密钥——所有凭证由 Clawvisor 托管并在网关层动态注入。
使用流程遵循严格的任务级授权模型:
1. 获取服务目录:会话开始时调用 /api/skill/catalog,确认可用服务与用户设定的限制(Restrictions)。
2. 创建任务:通过 POST /api/tasks?wait=true 声明任务目的、授权动作列表(authorized_actions)及有效期。任务需经用户审批后激活。
3. 网关请求:使用已审批的 task_id 调用 /api/gateway/request?wait=true,Clawvisor 自动执行权限校验、意图验证(Intent Verification)、凭证注入,并支持人工审批流程。
4. 任务结束:标记任务完成以清理授权范围。
关键机制:
- 限制(Restrictions):用户预设的硬阻断规则,匹配即拒绝。
- 任务范围(Task Scope):智能体声明所需动作与用途,用户审批后生效。
- 自动执行(auto_execute):只读操作可设
true免审批;写操作须false触发逐请求审批。 - 链式上下文验证(Chain Context Verification):防止劫持攻击,确保后续请求的目标实体源自先前结果。
- 意图验证(Intent Verification):LLM 审核
reason字段,检测提示注入与参数篡改。
支持持久任务(Standing Tasks)跨会话复用,但须配合 session_id 以维持链式上下文。
---
显著优点
1. 零接触凭证管理:智能体代码与日志中无 API 密钥残留,降低泄露风险。
2. 精细化授权控制:任务级、动作级、请求级三重管控,支持时间窗口与自动/手动执行策略。
3. 人类在环审批:敏感操作强制用户确认,兼顾自动化与合规要求。
4. 意图验证与链式上下文:主动防御提示注入、数据污染与越权访问。
5. 批量请求优化:/gateway/batch 端点支持并发多服务查询,减少往返延迟。
---
潜在缺点与局限性
1. 架构复杂性:需额外部署 Clawvisor 服务(自托管或托管),增加运维负担。
2. 延迟开销:任务审批、意图验证、人工确认等环节引入可感知延迟,不适合毫秒级场景。
3. 用户体验摩擦:频繁的人工审批可能打断工作流,过度放宽 auto_execute 又削弱安全收益。
4. 学习曲线陡峭:reason 撰写、任务范围 sizing、session_id 管理等需深入理解文档。
5. 供应商锁定:深度绑定 Clawvisor 的 API 与语义,迁移成本较高。
6. macOS 限制:iMessage 支持仅限 macOS,且受苹果生态约束。
---
适合人群
- 高安全需求的企业/团队:金融、医疗、法务等领域,需审计追踪与人类审批。
- 多服务自动化工作流:个人助理、高管日程管理、跨平台信息聚合。
- AI 智能体开发者:希望快速获得企业级授权与凭证管理能力,避免自建基础设施。
---
常规风险
- Agent Token 泄露:
CLAWVISOR_AGENT_TOKEN为高权限凭证,一旦泄露将导致所有激活服务暴露。须专用令牌、最小权限、定期轮换。 - 任务范围过宽:过度授权(如持久任务覆盖全部 Gmail 操作)可能放大攻击面。
- 意图验证绕过:
reason字段撰写不当(如提及"用户要求")可能触发误判或注入风险。 - 服务可用性:Clawvisor 成为单点故障,其宕机将阻断所有外部服务访问。
- 合规依赖:托管版需信任 Clawvisor 运营方的数据安全实践。