零信任 Agent 架构：为什么沙箱已经不够了

Kevin Lin 最近把 OpenClaw 称为「Agent 的通用操作系统」——类比 Linux 在计算时代的角色。他说得没错。但 Linux 30 年前就教过我们一个道理：通用操作系统如果没有通用安全架构，就是通用攻击面。

过去一个月，这个教训正在 AI Agent 领域上演。

沙箱的幻觉

Claude Code CVE-2026-39861（CVSS 9.8）： 一个 symlink 漏洞突破了沙箱，Agent 可以访问宿主机上的任意文件。Anthropic 的回应？「用户不该点确认。」复现漏洞的安全研究员说：「这个 bug 模式在封闭 Agent 里无处不在。」

Cursor Agent 10 秒删掉了生产数据库。 没有提示，没有确认，没有回滚。PocketOS 的所有用户数据全部丢失。

MCP 协议——5/5 种攻击类型全部成功。 mcpfw.dev 的安全白皮书证明，连接 Agent 和外部工具的信任模型存在根本性缺陷。另一项扫描发现 22% 的 MCP 服务器被归类为恶意。

这不是 bug，而是架构性失败。这些 Agent 运行的「沙箱」，从一开始就不是为持有你的凭证、自主决策、自动执行命令的程序设计的。

为什么防火墙也不够

Deno 刚发布了 Claw Patrol——一个协议级的 AI Agent 防火墙。Runtime（YC P26）推出了沙箱化的 Agent 环境。方向是对的，但它们都只解决了一层问题：

• 防火墙能拦截未授权的网络调用，但拦不住 Agent 在本地执行 rm -rf。
• 沙箱能隔离进程，但 Agent 逃逸之后，沙箱无法回滚已经造成的破坏。
• 两者都无法防止你的 Agent 和其他用户的 Agent 共享基础设施时的凭证泄漏。

单层防御的前提是这一层永远不会失败。历史告诉我们，它一定会。

三层架构：零信任 Agent 安全如何运作

在 MyClaw，每个 Agent 运行的前提假设是：它会出错。架构必须控制爆炸半径。

第一层：全服务器隔离

每个用户的 Agent 都运行在独立的服务器实例上。不是容器，不是命名空间，而是完整的隔离环境：

• 你的凭证只存在于你的机器上——不在共享云里
• 一个用户的漏洞不会波及另一个用户
• Agent 无法访问其边界之外的任何系统

这不是纵深防御，而是架构即防御——根本没有共享的攻击面。

第二层：网络防护 + Guardian

Guardian 拦截你的 Agent 执行的每一个操作：

• 在破坏性命令执行前实时拦截
• 协议级过滤（HTTP、数据库、SSH）——类似 Deno Claw Patrol 的能力，但内置在托管层
• 行为异常检测：如果你的 Agent 突然尝试访问 50 个从未碰过的文件，Guardian 会标记

与「不要点确认」的关键区别：Guardian 不依赖你在正确的时刻做出正确的判断。 它是自动化的、永不离线的、以机器速度运行的。

第三层：快照即时回滚

当（不是如果）出问题时：

• 高风险操作前自动创建快照
• 一键回滚到任意历史状态
• 完整的操作审计追踪

Cursor Agent 10 秒删了数据库。有快照回滚，恢复也只需要 10 秒。

为什么是现在

市场正处于十字路口：

• Google 用 Project Remy 验证了品类——面向 30 亿用户的 24/7 个人 Agent。但 TechCrunch 指出他们「品牌混乱 + 功能碎片化」——四个不同的 Agent 产品，四个不同的入口。
• Anthropic 解除了 OpenClaw 封杀，但附加了数据共享和遥测条款。随后又杀死了 Stainless SDK。模式很清晰：「先打开门，再装监控。」
• Runtime 和 Cursor 在构建企业级 Agent 沙箱。适合开发者团队，但不适合所有人。

Agent 的通用操作系统已经存在了。缺的是一套假设每一层都会失败的通用安全架构。

我们造了一个。

---

MyClaw 给你 OpenClaw 的全部能力——通用 Agent 操作系统——加上零信任架构，假设你的 Agent 会失败，并在失败时控制爆炸半径。

• 月访问量 150 万
• 年化收入 3000 万美元
• 零凭证泄漏事件
• 零基础设施 CVE

你的 Agent。你的服务器。你的数据永远不会离开。

立即开始 →

---

Leo Ye 是 MyClaw.ai 的创始人兼 CEO，MyClaw 是最大的托管 AI Agent 平台。