Show HN: Claw Patrol，面向 AI Agent 的安全防火墙

背景

随着大型语言模型（LLM）驱动的 AI Agent（智能体）在软件开发、运维自动化及数据交互中的广泛应用，Agent 直接访问生产环境（Production）的风险日益凸显。传统的网络安全防火墙主要设计用于保护人类用户或传统应用程序，缺乏针对 AI Agent 行为模式、意图理解以及细粒度操作控制的机制。

当 Agent 被赋予执行代码、查询数据库或操作云基础设施的权限时，一旦遭遇提示词注入攻击、逻辑错误或恶意指令，可能导致数据泄露、服务中断甚至基础设施被破坏。现有的解决方案往往侧重于应用层的权限管理，而缺乏在网络链路层（Wire-level）对 Agent 流量进行实时解析、意图识别和动态拦截的能力。Claw Patrol 正是在这一背景下诞生的工具，旨在填补 AI Agent 与生产环境之间的安全空白。

核心内容

Claw Patrol 是一个专为 AI Agent 设计的安全防火墙网关。它部署在 Agent 与生产环境之间，通过解析网络链路层（Wire-level）的流量，并根据用户编写的 HCL（HashiCorp Configuration Language）规则，对每一个操作进行放行或拦截。

工作原理与功能

Claw Patrol 的核心价值在于其“中间人”式的拦截能力。它不仅能监控流量，还能深入解析特定协议的内容，从而做出基于语义的判断。

1. 流量解析与规则引擎：

   • Claw Patrol 能够解析多种主流协议的流量，包括 SQL（如 Postgres、ClickHouse）、Kubernetes API 以及 HTTP。
   • 它提取协议层面的关键事实（Facts），例如 SQL 中的动词和表名、Kubernetes 中的资源/动词/命名空间、HTTP 中的方法/路径/头部/主体等。
   • 用户可以使用 CEL（Common Expression Language） 表达式编写条件规则，基于这些提取的事实对流量进行决策。

2. 细粒度控制示例：

   • 数据库保护：可以阻止破坏性的 SQL 操作。
   • Kubernetes 管控：例如，当 Agent 尝试执行 kubectl delete pod 时，Claw Patrol 可以暂停该请求，直到获得人类审批，然后才将请求转发至 Kubernetes 集群。
   • 数据防泄露：可以禁止敏感数据（如 Secrets）通过 Agent 离开集群。

3. 部署形态： Claw Patrol 提供了三种灵活的部署模式，以适应不同的安全需求：

   • clawpatrol gateway：作为代理服务器运行。这是一个单一二进制文件，加载 HCL 配置文件，并接受通过 WireGuard 或 Tailscale 隧道接入的客户端。
   • clawpatrol join：加入一个现有的网关。它会在主机上启动一个 WireGuard 隧道，将主机的所有流量路由到网关。
   • clawpatrol run：包装特定的 Agent 进程树。
     • 在 Linux 上通过 netns（网络命名空间）实现。
     • 在 macOS 上通过 NetworkExtension 实现。
     • 这种模式仅将包装命令的流量通过网关，实现了更细粒度的隔离。

配置示例

Claw Patrol 使用 HCL 进行配置，规则清晰且易于阅读。以下是一个来自其生产环境的真实规则示例，用于防止密钥泄露：

rule "k8s-no-secrets" {
  endpoint = k8s-prod
  condition = "k8s.resource == 'secrets'"
  verdict = "deny"
  reason = "Secret values must not leave the cluster via the agent"
}

• endpoint：指定目标端点（如 k8s-prod）。
• condition：使用 CEL 表达式定义触发条件，这里检查 Kubernetes 资源类型是否为 secrets。
• verdict：决定是 deny（拒绝）还是 allow（允许）。
• reason：记录拒绝原因，便于审计。

安装与使用

• 快速安装：支持通过脚本一键安装。

  curl -fsSL https://clawpatrol.dev/install.sh | sh
  

• 源码编译：需要 Go 和 Node.js 环境。

  make
  

• 文档：项目提供了详细的入门指南、配置参考文档以及示例配置文件。

开源许可

Claw Patrol 采用 MIT 许可证 开源，代码位于 LICENSE.md 中。

关键要点

• 协议级深度解析：不同于传统的 IP/端口过滤，Claw Patrol 能够解析 SQL、K8s API 和 HTTP 等高层协议的内容，提取语义信息（如表名、资源类型、HTTP 方法）用于决策。
• 基于 CEL 的规则引擎：使用通用的 Common Expression Language (CEL) 编写条件，使得规则编写既灵活又具备强大的表达能力。
• 三种部署模式：
  • 网关模式：集中式代理，适合全局流量控制。
  • Join 模式：主机级路由，适合整个服务器的流量保护。
  • Run 模式：进程级包装，利用 Linux netns 或 macOS NetworkExtension 实现最小权限隔离，仅保护特定 Agent 进程。
• 人机协同审批：支持在关键操作（如删除 Pod）前暂停流量，引入人工审批环节，防止自动化错误造成灾难性后果。
• 轻量级与易用性：提供单一二进制文件部署，支持一键安装脚本，降低了集成门槛。
• 开源与透明：MIT 许可证允许自由使用和修改，配置示例和文档齐全，便于社区贡献和自定义。

意义与影响

Claw Patrol 的出现标志着 AI Agent 安全领域从“应用层权限控制”向“网络层语义理解”的演进。

1. 填补安全空白：现有的 IAM（身份与访问管理）和 RBAC（基于角色的访问控制）主要解决“谁可以访问什么”的问题，但无法有效应对“访问过程中做了什么”以及“操作是否安全”的问题。Claw Patrol 通过中间人拦截和协议解析，实现了对 Agent 行为的实时监督。
2. 降低生产环境风险：对于依赖 AI Agent 进行自动化运维（AIOps）或数据处理的团队，Claw Patrol 提供了最后一道防线。它能够有效防止因 Prompt 注入、模型幻觉或逻辑错误导致的误操作，如误删数据、泄露密钥或发起拒绝服务攻击。
3. 促进 Agent 的规模化采用：安全是企业采纳新技术的最大障碍之一。通过提供细粒度、可审计、可配置的安全网关，Claw Patrol 降低了企业将 AI Agent 引入生产环境的顾虑，有助于推动 AI 自动化在更敏感场景中的应用。
4. 标准化与灵活性：采用 HCL 配置和 CEL 表达式，使得安全策略的管理更加标准化和可编程，便于与现有的 DevOps 流程和 CI/CD 管道集成。

总之，Claw Patrol 为 AI Agent 的安全落地提供了一个实用且强大的基础设施组件，是构建可信 AI 系统的重要一环。