La Arquitectura OpenClaw de Confianza Cero Agrega Autorización Pre-Ejecución y Verificación Post-Ejecución.

Una arquitectura de seguridad de código abierto para OpenClaw aborda el problema de que los agentes tengan permisos del sistema operativo ambientales sin una verificación confiable de sus acciones. La solución implementa dos puntos de control estrictos en el bucle de ejecución.

Puerta de Pre-Ejecución

Un demonio local en Rust llamado predicate-authorityd intercepta cada llamada a herramienta antes de su ejecución y la verifica contra una política declarativa. Esto proporciona una sobrecarga de autorización submilisegundo con p99 <25ms. El sistema es de fallo cerrado: si el sidecar está caído, todo se deniega. Por ejemplo, si un agente intenta escribir en /etc/passwd, se bloquea de forma estricta y el sistema operativo anfitrión nunca es tocado.

Verificación Post-Ejecución

En lugar de preguntar a un LLM "¿funcionó?" después de acciones del navegador, el sistema ejecuta aserciones deterministas como:

• url_contains("news.ycombinator.com") → PASÓ
• element_exists("titleline") → PASÓ
• dom_contains("Show") → PASÓ

El patrón .eventually() maneja la hidratación de SPA sin las frágiles llamadas sleep().

Trazabilidad y Ahorro de Tokens

Cada paso—decisiones de autorización, instantáneas del DOM, resultados de verificación—se envía a una traza (local o en la nube). Puedes reproducir el estado exacto del agente paso a paso en un portal web, útil para depurar aserciones fallidas o auditar lo que el agente realmente vio (incluidas capturas de pantalla).

La habilidad predicate-snapshot comprime el DOM a solo elementos accionables, logrando un ahorro de tokens del 90-99%. En una demostración de extracción de publicaciones de Hacker News, usó ~1200 tokens por paso en lugar de 50k+ para HTML crudo.

Casos de Uso y Desarrollo Futuro

Esta arquitectura está lista para producción en tareas como monitoreo de precios en sitios de comercio electrónico (Amazon, eBay), seguimiento de competidores, generación de leads desde directorios, o cualquier web scraping donde necesites garantías de que el agente realmente extrajo los datos correctos.

La puerta de pre-ejecución ya funciona para cualquier agente (son solo llamadas HTTP al sidecar). El desarrollo futuro incluye extender la verificación post-ejecución a agentes no web—aserciones del estado del sistema de archivos, validación de respuestas de API, verificaciones de base de datos—usando el mismo enfoque determinista sin LLM-como-juez.

Repositorios

• Plugin de seguridad OpenClaw: https://github.com/PredicateSystems/predicate-claw (con demo GIF)
• Habilidad Snapshot de OpenClaw: https://github.com/PredicateSystems/openclaw-predicate-skill