AgentAegis 智能体安全防御包括: skill投毒、记忆污染、意图对齐、恶意执行、资源耗尽

AgentAegis 智能体安全防御包括: skill投毒、记忆污染、意图对齐、恶意执行、资源耗尽 AgentAegis为OpenClaw类智能体构建了一套多维度的智能体安全纵深防御架构实现从大模型智能体在各种Claw从初始化到执行的全生命周期五层安全防御覆盖智能体执行服务中的安全性和可靠性风险包括skill投毒、记忆污染、意图对齐、恶意执行、资源耗尽等。作为内置的轻量化安全插件AgentAegis可以在OpenClaw的关键阶段主动发起防御机制动态保障智能体运行时的安全。此外AgentAegis还面向安全运营人员提供风险识别与处置策略可配置能力以灵活、可拓展地应对智能体运行时安全威胁面向普通用户提供敏感文件及Skill资产保护能力以保障个人隐私和资产安全。AgentAegis 为 OpenClaw 构建了一套多维度的纵深防御架构实现从初始化到执行终端的全生命周期安全闭环。该体系由以下五个核心防护层组成可信基座层防御— 确保底层环境的可信度从初始化阶段夯实系统安全根基。感知输入层防御— 对内部和外部指令进行严格过滤与审核拦截恶意注入或高风险请求。认知状态层防御— 实时监控智能体的内部状态防止记忆恶化上下文污染。决策对齐层防御— 在逻辑生成环节进行意图校验确保输出决策与用户真实意图一致模糊意图要求用户二次确认消除意图偏离风险。执行控制层防御— 在最终操作前实施权限管理确保所有指令都在安全边界内受控执行。通过这种层层递进的机制AgentAegis 确保了 OpenClaw 在每一个关键链路环节都具备细致的风险对冲能力将潜在威胁消弭于无形。此外作为内置的安全插件不同于提示词、Skill类防御等被动防御机制AgentAegis可以在OpenClaw的关键阶段主动发起防御机制动态保障运行时的安全。-----运行时防御AgentAegis 提供一组覆盖智能体全生命周期的内置运行时防御能力无需额外配置即可自动检测和缓解威胁。五层纵深防御— 覆盖意图扫描、工具调用治理、工具结果审查、资产保护和输出安全贯穿九个OpenClaw生命周期钩子。Skill投毒防御— 启动时及运行期间持续扫描Skill内容检测试图绕过审批、禁用安全控制或篡改受保护资产的恶意载荷。记忆污染防护— 拒绝对持久化记忆存储memory_store、MEMORY.md、SOUL.md、memory/的可疑或超大写入防止跨会话的持久化提示词投毒。意图与提示词安全— 检测用户消息中的越狱尝试、密钥窃取请求和插件篡改意图并向提示词注入安全上下文以影响后续模型推理。工具调用治理— 在工具执行前拦截高危Shell命令、编码/混淆载荷、写后执行链、重复变异循环以及SSRF/数据泄露链。工具结果审查— 将外部工具输出视为不可信输入扫描其中的提示词注入、密钥请求和权限提升模式防止其影响下一步推理。输出脱敏— 在助手输出发送或存储前遮蔽API密钥、令牌及类似敏感值。进阶可配置防御在内置运行时防御之上AgentAegis 为安全运营人员和终端用户提供可配置的控制面支持进阶风险管理和资产保护。可配置安全运营— 运营人员可通过allDefensesEnabled全局启用所有防御通过defaultBlockingMode设置全局基线并可逐项覆盖selfProtectionMode、commandBlockMode、memoryGuardMode、exfiltrationGuardMode等独立控制。每项防御均支持enforce、observe和off三种模式实现从监控到主动拦截的渐进式部署。运营人员还可定义protectedPaths、protectedSkills和protectedPlugins来匹配其环境中的关键资产并通过startupSkillScan提前识别风险Skill。检测结果以运行时观测、拦截动作和提升的提示词告警形式呈现为防御者提供可操作的分类与响应信号。敏感文件与Skill资产保护— 敏感文件和目录可添加到protectedPaths对未授权的读取、写入、删除和篡改进行拦截或观测。高价值Skill和重要插件可通过protectedSkills和protectedPlugins注册防止Skill和插件资产被删除、覆盖或补丁式篡改。自保护机制降低智能体关闭自身防御或静默改写安全配置的风险。对个人用户而言这意味着私人笔记、文档和自定义Skill得到更安全的处理对组织而言这意味着运维手册、审计插件和安全关键配置获得更强的保护。https://github.com/antgroup/agent-aegis/blob/main/web/README.md开发模式下 API 服务运行在:3800Vite 前端开发服务器运行在:3801自动代理 API 请求。项目结构web/ ├── shared/ # 前后端共享的类型定义、Zod 校验 schema、防御分组元数据 ├── api/ # Express 后端服务 │ └── src/ │ ├── routes/ # API 路由config、status、events、skills │ └── services/ # 业务逻辑配置读写、状态读取、事件管理、文件监听 └── frontend/ # React Vite TailwindCSS 前端 └── src/ ├── api/ # API 客户端封装 React Query hooks ├── pages/ # 页面组件Dashboard、Config、Events、Skills └── components/ # UI 组件布局、仪表盘、配置编辑器、通用控件功能页面Dashboard仪表盘防御状态统计卡片Enforce / Observe / Off 数量12 项防御机制状态矩阵插件自完整性状态Trusted Skills 计数最近安全事件列表Config配置编辑器Master Controls全局防御开关 默认拦截模式off / observe / enforceExecution Guards7 个执行层防御卡片每个可独立开关并选择模式Scanning Output5 个扫描和输出相关防御开关Protected Assets标签式编辑器管理受保护的路径、Skill ID、Plugin IDAdvanced可折叠的高级选项启动时 Skill 扫描等脏状态追踪Save / Reset to Defaults 按钮Events安全事件日志支持按防御类型和结果blocked / observed / clear筛选表格展示时间、防御名称、结果、工具名、拦截原因自动每 10 秒刷新SkillsSkill 扫描管理Trusted Skills 列表路径、哈希、大小、扫描时间手动移除 Trusted Skill移除后下次扫描会重新评估---https://github.com/antgroup/agent-aegis/blob/main/README_zh.mdAgentAegis为OpenClaw类智能体构建了一套多维度的智能体安全纵深防御架构实现从大模型智能体在各种Claw从初始化到执行的全生命周期五层安全防御覆盖智能体执行服务中的安全性和可靠性风险包括skill投毒、记忆污染、意图对齐、恶意执行、资源耗尽等。作为内置的轻量化安全插件AgentAegis可以在OpenClaw的关键阶段主动发起防御机制动态保障智能体运行时的安全。此外AgentAegis还面向安全运营人员提供风险识别与处置策略可配置能力以灵活、可拓展地应对智能体运行时安全威胁面向普通用户提供敏感文件及Skill资产保护能力以保障个人隐私和资产安全。