OpenExec — Deterministic Execution Boundary for Agent Systems

🔏 签名验证·离线执行·可审计收据

OpenExec 是受信治理的确定性执行适配器,离线验证 Ed25519 签名后执行预授权操作,输出可验证收据,适合需要审计追踪的关键业务系统。

收藏
2.8k
安装
1.4k
版本
0.1.8
CLS 安全扫描中
预计需要 3 分钟...

使用说明

核心用法

OpenExec 是一个受治理的确定性执行服务,采用「批准-执行」分离架构。它本身不做决策,只执行已通过 ClawShield 签名的预授权操作。运行时完全离线,零出站网络请求,所有签名验证均在本地完成。

两种运行模式

  • Demo 模式:零配置启动,适合开发测试,仍保障确定性执行和重放保护
  • ClawShield 模式:生产环境使用,需配置公钥和租户 ID,离线验证 Ed25519 签名

关键端点

  • /execute:接收结构化请求,验证签名/允许列表,执行确定性操作
  • /receipts/verify:验证执行收据的哈希完整性

数据持久化:默认 SQLite,可通过 OPENEXEC_DB_URL 配置外部数据库,但网络 I/O 仅由运维方主动配置。

显著优点

1. 零信任执行边界:执行前必须持有有效签名批准,杜绝未授权操作
2. 完全离线验证:无 RPC 回查、无治理 SaaS 调用,降低供应链攻击面

3. 确定性可复现:相同输入必得相同输出,配合收据哈希实现审计追踪

4. 轻量可嵌入:Python 运行时,容器友好,与现有基础设施松耦合

5. 多层架构解耦:执行层(OpenExec)、治理层(ClawShield)、见证层(ClawLedger)可独立替换

潜在局限

  • 非沙箱:应用层边界控制,需配合容器/VM/内核级隔离部署生产环境
  • 签名源依赖:ClawShield 模式的信任锚定 ClawShield SaaS,需运营方自行评估其 SLA
  • 无自主决策:纯执行器定位,复杂策略需前置系统完成
  • 数据库配置责任:网络数据库连接的安全由运维方承担

适合人群

  • 需要「人机共管」或「多签治理」执行金融/关键操作的机构
  • 追求可审计、可验证执行链的合规敏感行业(支付、政务、医疗)
  • 已在 ClawShield 生态中的团队,寻求标准化执行端点
  • 需要确定性回滚和重放防护的批处理系统开发者

常规风险

| 风险类型 | 说明 | 缓解建议 |
|---------|------|---------|
| 私钥泄露 | CLAWSHIELD_PUBLIC_KEY 被替换为攻击者公钥 | 密钥分片管理、HSM 存储、配置漂移检测 |
| 重放攻击 | nonce 碰撞或预测 | 服务端 nonce 池 + 客户端唯一性约束 |
| 供应链污染 | pip 依赖夹带恶意代码 | 锁定 requirements.txt 哈希、私有索引镜像 |
| 容器逃逸 | 应用层隔离被突破 | 非特权容器、seccomp/seccomp-bpf、gVisor/Kata |
| 日志篡改 | 收据验证依赖本地状态 | 定期向 ClawLedger 或外部不可变存储提交摘要 |

版本:v0.1.8(早期版本,建议生产前完整阅读 SECURITY.md 并完成威胁建模)

OpenExec — Deterministic Execution Boundary for Agent Systems 内容

config文件夹
openexec文件夹
scripts文件夹
tests文件夹
手动下载zip · 19.3 kB
openexec.example.jsonapplication/json
请选择文件