Deno 的 Claw Patrol:根本不把钥匙交给 agent
Deno 今天开源了 Claw Patrol,一个 agent 安全防火墙,切入的层面别人都没做:网络层。agent 的流量通过 WireGuard 或 Tailscale 隧道进入一个网关,网关终止 TLS、解析真正的应用层协议——不只是 HTTP,还有 Postgres、Kubernetes、SSH。规则用 HCL 写,直接针对线路层面的协议事实:DROP TABLE 一律拦截,kubectl 允许 get 但生产命名空间禁止 delete,特定路径的特定 HTTP 方法单独把关。
真正聪明的是凭证注入。agent 从头到尾拿不到真密钥——它发的是 {{github_pat}} 这样的占位符,网关在线路上换成真 token。被攻陷的 agent 进程泄露不了它从未持有的钥匙。本周 Miasma 刚演示了 agent 一打开投毒仓库凭证就被偷,这个设计就不是偏执,是正确的默认假设。
它还支持人工审批和 LLM 审批员,敏感调用可以让一个便宜模型先判断这个外发请求像不像数据外泄。目前是 alpha,MIT 协议。
这是本月我们看到的第三种 agent 围栏思路。苹果和微软说把 agent 关进虚拟机隔离;Kimi Work 说把真实浏览器交给它、选择信任;Claw Patrol 说让它干活,但拿走它的密钥,在每根线上放一个懂协议的检查站。三种方案里,只有最后一种从"agent 已经被攻陷"出发设计——按现在的证据看,这才是现实的假设。
仓库:https://github.com/denoland/clawpatrol
← 返回所有文章
真正聪明的是凭证注入。agent 从头到尾拿不到真密钥——它发的是 {{github_pat}} 这样的占位符,网关在线路上换成真 token。被攻陷的 agent 进程泄露不了它从未持有的钥匙。本周 Miasma 刚演示了 agent 一打开投毒仓库凭证就被偷,这个设计就不是偏执,是正确的默认假设。
它还支持人工审批和 LLM 审批员,敏感调用可以让一个便宜模型先判断这个外发请求像不像数据外泄。目前是 alpha,MIT 协议。
这是本月我们看到的第三种 agent 围栏思路。苹果和微软说把 agent 关进虚拟机隔离;Kimi Work 说把真实浏览器交给它、选择信任;Claw Patrol 说让它干活,但拿走它的密钥,在每根线上放一个懂协议的检查站。三种方案里,只有最后一种从"agent 已经被攻陷"出发设计——按现在的证据看,这才是现实的假设。
仓库:https://github.com/denoland/clawpatrol
评论