Die Zero-Trust OpenClaw-Architektur fügt Vorab-Autorisierung und Nachausführungsverifizierung hinzu.

Eine Open-Source-Sicherheitsarchitektur für OpenClaw adressiert das Problem, dass Agenten über umgebende Betriebssystemberechtigungen verfügen, ohne dass ihre Aktionen zuverlässig verifiziert werden. Die Lösung implementiert zwei harte Kontrollpunkte in der Ausführungsschleife.

Vorausführungs-Gate

Ein lokaler Rust-Daemon namens predicate-authorityd fängt jeden Tool-Aufruf vor der Ausführung ab und prüft ihn gegen eine deklarative Richtlinie. Dies bietet einen Sub-Millisekunden-Autorisierungs-Overhead mit p99 <25ms. Das System ist fail-closed: Wenn der Sidecar ausfällt, wird alles verweigert. Wenn ein Agent beispielsweise versucht, in /etc/passwd zu schreiben, wird er hart blockiert und das Host-Betriebssystem wird nie berührt.

Nachausführungsverifizierung

Anstatt nach Browser-Aktionen eine LLM zu fragen „hat es funktioniert?“, führt das System deterministische Assertions aus wie:

• url_contains("news.ycombinator.com") → PASS
• element_exists("titleline") → PASS
• dom_contains("Show") → PASS

Das .eventually()-Muster behandelt SPA-Hydration ohne spröde sleep()-Aufrufe.

Tracing und Token-Einsparungen

Jeder Schritt – Autorisierungsentscheidungen, DOM-Snapshots, Verifizierungsergebnisse – wird in einen Trace (lokal oder Cloud) gepusht. Sie können den genauen Zustand des Agenten schrittweise in einem Web-Portal wiedergeben, was nützlich ist zum Debuggen fehlgeschlagener Assertions oder zur Überprüfung, was der Agent tatsächlich gesehen hat (Screenshots inklusive).

Die predicate-snapshot-Funktion komprimiert den DOM auf nur handlungsrelevante Elemente und erreicht 90–99 % Token-Einsparung. In einer Demo zum Extrahieren von Hacker-News-Beiträgen wurden ~1200 Token pro Schritt verwendet statt 50k+ für rohes HTML.

Anwendungsfälle und zukünftige Entwicklung

Diese Architektur ist produktionsbereit für Aufgaben wie Preisüberwachung auf E-Commerce-Seiten (Amazon, eBay), Wettbewerber-Tracking, Lead-Generierung aus Verzeichnissen oder jegliches Web-Scraping, bei dem Garantien benötigt werden, dass der Agent tatsächlich die richtigen Daten extrahiert hat.

Das Vorausführungs-Gate funktioniert bereits für jeden Agenten (es sind nur HTTP-Aufrufe an den Sidecar). Zukünftige Entwicklung umfasst die Erweiterung der Nachausführungsverifizierung auf Nicht-Web-Agenten – Dateisystemzustands-Assertions, API-Antwortvalidierung, Datenbankprüfungen – unter Verwendung des gleichen deterministischen Ansatzes ohne LLM-als-Richter.

Repositories

• OpenClaw-Sicherheits-Plugin: https://github.com/PredicateSystems/predicate-claw (mit GIF-Demo)
• OpenClaw-Snapshot-Funktion: https://github.com/PredicateSystems/openclaw-predicate-skill