Архитектура Zero-Trust OpenClaw добавляет авторизацию перед выполнением и верификацию после выполнения.

Открытая архитектура безопасности для OpenClaw решает проблему, когда агенты имеют полномочия на уровне операционной системы без надежной проверки их действий. Решение реализует два жестких контрольных пункта в цикле выполнения.

Шлюз предварительного выполнения

Локальный демон на Rust под названием predicate-authorityd перехватывает каждый вызов инструмента перед выполнением и проверяет его по декларативной политике. Это обеспечивает накладные расходы на авторизацию менее миллисекунды с p99 <25мс. Система работает по принципу "отказ в закрытую": если сайдкар не работает, все запрещено. Например, если агент пытается записать в /etc/passwd, это жестко блокируется, и хостовая ОС никогда не затрагивается.

Проверка после выполнения

Вместо того чтобы спрашивать у LLM "сработало ли это?" после действий в браузере, система запускает детерминированные утверждения, такие как:

• url_contains("news.ycombinator.com") → ПРОЙДЕНО
• element_exists("titleline") → ПРОЙДЕНО
• dom_contains("Show") → ПРОЙДЕНО

Шаблон .eventually() обрабатывает гидратацию SPA без хрупких вызовов sleep().

Трассировка и экономия токенов

Каждый шаг — решения по авторизации, снимки DOM, результаты проверки — отправляется в трассировку (локальную или облачную). Вы можете воспроизвести точное состояние агента пошагово в веб-портале, что полезно для отладки неудачных утверждений или аудита того, что агент фактически видел (включая скриншоты).

Навык predicate-snapshot сжимает DOM только до действенных элементов, достигая экономии токенов на 90-99%. В демо-версии по извлечению постов с Hacker News использовалось ~1200 токенов на шаг вместо 50k+ для сырого HTML.

Случаи использования и будущая разработка

Эта архитектура готова к производству для таких задач, как мониторинг цен на сайтах электронной коммерции (Amazon, eBay), отслеживание конкурентов, генерация лидов из каталогов или любой веб-скрапинг, где нужны гарантии, что агент действительно извлек правильные данные.

Шлюз предварительного выполнения уже работает для любого агента (это просто HTTP-вызовы к сайдкару). Будущая разработка включает расширение проверки после выполнения на не-веб-агентов — утверждения состояния файловой системы, проверку ответов API, проверки базы данных — с использованием того же детерминированного подхода без LLM-как-судьи.

Репозитории

• Плагин безопасности OpenClaw: https://github.com/PredicateSystems/predicate-claw (с GIF-демо)
• Навык OpenClaw Snapshot: https://github.com/PredicateSystems/openclaw-predicate-skill