零信任 Agent 架構：為什麼沙箱已經不夠了

Kevin Lin 最近將 OpenClaw 形容為「Agent 的通用作業系統」——智慧代理時代的 Linux。他說得沒錯。但 Linux 在三十年前就教過我們一件事：一個沒有通用安全架構的通用作業系統，就是一個通用的攻擊面。

過去一個月，我們親眼見證了這個教訓在現實中上演。

沙箱的幻覺

Claude Code CVE-2026-39861（CVSS 9.8）： 一個符號連結漏洞突破了沙箱。Anthropic 的修復方案？「使用者不應該點確認。」重現這個漏洞的安全研究員說，這種模式「在封閉式 Agent 中無處不在」。

Cursor Agent 在 10 秒內刪除了一個生產資料庫。 沒有提示。沒有確認。沒有回滾。PocketOS 失去了所有使用者資料。

MCP 協定——五大攻擊類別全部成功。 一份安全白皮書證明了連接 Agent 與外部工具的信任模型從根本上就是破碎的。另一項掃描發現 22% 的 MCP 伺服器被歸類為惡意伺服器。

這些不是 Bug，而是架構性的失敗。這些 Agent 運行的「沙箱」從來就不是為自主持有你的憑證、做出決策、執行命令的程式所設計的。

為什麼光靠防火牆解決不了問題

Deno 剛推出了 Claw Patrol——一個針對 AI Agent 的協定層防火牆。Runtime（YC P26）推出了沙箱化的 Agent 環境。這些都是正確方向上的一步，但它們只解決了一層問題：

• 防火牆能擋住未授權的網路呼叫。但它擋不住 Agent 對本機資料執行 rm -rf。
• 沙箱能隔離程序。但一旦 Agent 逃逸，它無法回滾已造成的損害。
• 當你的 Agent 與其他使用者的 Agent 共享基礎設施時，兩者都無法防止憑證外洩。

單層防禦假設這一層不會失敗。歷史告訴我們它一定會。

三層架構：零信任 Agent 安全架構的實踐方式

在 MyClaw，每個 Agent 都基於一個假設運行：它會失敗。架構必須控制爆炸半徑。

第一層：完整伺服器隔離

每位使用者的 Agent 都獲得一個專屬的伺服器實例。不是容器，不是命名空間，而是一個完整、隔離的環境：

• 你的憑證只存在於你的機器上——不在共享雲端
• 一個使用者的資安事件不會波及其他使用者
• Agent 無法存取其邊界以外的系統

這不是縱深防禦，這是設計即防禦——根本不存在可被攻破的共享攻擊面。

第二層：網路封控 + Guardian

Guardian 坐鎮在你的 Agent 與它執行的每一個動作之間：

• 在破壞性命令執行前即時攔截
• 協定層過濾（HTTP、資料庫、SSH）——類似 Deno 的 Claw Patrol，但內建於託管層
• 行為異常偵測：如果你的 Agent 突然嘗試存取 50 個從未接觸過的檔案，Guardian 會立即標記

與「不要點確認」的關鍵區別在於：Guardian 不依賴你在正確的時刻做出正確的判斷。 它是自動化的、永遠在線的，以機器速度運行。

第三層：即時快照回滾

當（不是如果）事情出錯時：

• 在高風險操作前自動建立快照
• 一鍵回滾到任何先前狀態
• 完整的操作審計軌跡

Cursor Agent 在 10 秒內刪除了資料庫。有了快照回滾，恢復也只需要 10 秒。

為什麼現在很重要

市場正處於一個關鍵轉折點：

• Google 剛剛以 Project Remy 驗證了這個品類——一個面向 30 億使用者的全天候個人 Agent。但 TechCrunch 指出了他們的「品牌混亂與碎片化」——四個不同的 Agent 產品，四個不同的入口。
• Anthropic 撤銷了對 OpenClaw 的封鎖，但附加了資料共享遙測要求，隨後又砍掉了 Stainless SDK。模式很明顯：「先開門，再裝攝影機。」
• Runtime 和 Cursor 正在構建企業級 Agent 沙箱。對開發團隊來說很棒，但對其他人來說不夠。

Agent 的通用作業系統已經存在。缺少的是一個假設每一層都會失敗的通用安全架構。

我們建好了。

---

MyClaw 為你提供 OpenClaw——通用 Agent 作業系統——的完整能力，搭配零信任架構，假設你的 Agent 會失敗，並在失敗發生時控制爆炸半徑。

• 每月 150 萬訪客
• 年化營收 3,000 萬美元
• 零憑證外洩事件
• 零基礎設施 CVE

你的 Agent。你的伺服器。你的資料永不外流。

立即開始 →

---

Leo Ye 是 MyClaw.ai 的創辦人暨執行長，MyClaw 是全球最大的託管式 AI Agent 平台。