HarmonyOS 鸿蒙Next探探外骨骼·龙虾公版防火墙（ClawGuard）源码

AI 外骨骼公版防火墙

项目文档（工程师版）

1. 文档信息

项目名称： 探探（ClawGuard） 项目类型： AI 外骨骼 / OpenClaw（龙虾）专用安全防火墙 适用对象： AI 智能体、自动化外骨骼、鸿蒙设备、PC 端智能工具 文档用途： 架构说明 + 功能定义 + 核心规则 + 代码框架 交付对象： 开发工程师、安全工程师、项目负责人

2. 项目背景与目标

2.1 背景

当前 AI 外骨骼（如 OpenClaw，俗称龙虾）快速普及，但存在严重安全缺陷：

• 默认公网暴露，易被扫描、入侵、批量控制
• 权限过高，可擅自修改密码、删除文件、窃取密钥
• 无指令校验，易被提示词注入、插件投毒、系统命令滥用
• 无审计、无拦截、无紧急制动机制

为解决上述风险，正式立项：探探 — AI 外骨骼公版防火墙。

2.2 核心目标

• 禁止外骨骼偷改密码、删除系统文件、窃取隐私
• 禁止外骨骼被黑客控制、成为肉鸡、控制其他设备
• 禁止外骨骼无授权外联、私自上传数据
• 实现 AI 指令可审计、可拦截、可回溯、可紧急制动
• 形成一套公版安全标准，可直接集成到鸿蒙、Windows、Linux 等系统

3. 产品定位

探探是 AI 外骨骼的前置安全中间件，定位：

• 不替代原有外骨骼（龙虾）
• 不影响正常功能
• 只拦截危险行为、越权操作、恶意指令
• 开箱即用，零配置安全基线
• 为公版通用方案，支持多平台、多厂商设备

4. 整体架构

4.1 整体数据流

AI 大模型 → 探探防火墙 → 外骨骼（龙虾）→ 操作系统/设备

4.2 三层防御体系

1. 网络防火墙 控制 IP、端口、接入鉴权，防止外部入侵。
2. 指令防火墙 校验 AI 下发指令，拦截高危命令、注入攻击。
3. 权限防火墙 限制系统权限、文件访问、进程能力，防止越权失控。

5. 功能模块定义

5.1 网络防护模块

• 默认禁止公网暴露，仅允许本地 127.0.0.1/::1
• 支持 IP 白名单
• 接入令牌鉴权
• 防端口扫描、暴力破解

5.2 指令防护模块

• 高危系统命令黑名单拦截
• 提示词注入特征检测与拦截
• 插件签名校验
• 指令日志全记录

5.3 权限防护模块

• 禁止 root/管理员权限
• 禁止访问密钥、证书、密码、隐私配置
• 禁止删除/格式化系统关键文件
• 强制沙箱运行

5.4 异常监控与应急

• 异常批量控制行为检测
• 一键断连、停机、重置
• 操作日志可审计、可回溯

6. 公版安全基线（强制规则）

1. 仅允许本地回环地址访问，禁止公网暴露
2. 所有控制请求必须携带有效令牌鉴权
3. 拦截系统删除、格式化、修改密码、修改注册表等高危指令
4. 禁止读取/上传密钥、凭证、浏览器数据、隐私配置
5. 外网通信必须走白名单，未知外联直接阻断
6. 插件必须经过签名校验，未认证插件禁止加载
7. 所有操作全量日志留存
8. 异常批量控制自动触发保护
9. 强制最小权限，不授予系统最高权限
10. 提供一键安全重置接口

7. 核心代码框架（工程师直接实现）

7.1 核心数据结构

// 探探防火墙 - 指令校验结构体
typedef struct {
    char session_id[64];
    char user_token[64];
    char command[256];
    int  risk_level;   // 0-安全 1-警告 2-拦截
    int  allow;        // 1-允许 0-拒绝
} ClawCommand;

// 安全策略结构体
typedef struct {
    int deny_public_ip;
    int deny_root;
    char forbidden_cmds[16][64];
    char allowed_ips[16][64];
} ClawPolicy;

7.2 指令校验核心逻辑

int claw_check_command(ClawCommand *cmd) {
    const char *blacklist[] = {
        "rm -rf", "format", "mkfs",
        "passwd", "reg add", "del /f",
        "curl | sh", "wget | sh"
    };

    for (int i = 0; i < 8; i++) {
        if (strstr(cmd->command, blacklist[i])) {
            cmd->risk_level = 2;
            cmd->allow = 0;
            return 0;
        }
    }

    // 提示词注入特征
    if (strstr(cmd->command, "忽略之前") ||
        strstr(cmd->command, "ignore previous") ||
        strstr(cmd->command, "system(")) {
        cmd->risk_level = 2;
        cmd->allow = 0;
        return 0;
    }

    cmd->risk_level = 0;
    cmd->allow = 1;
    return 1;
}

7.3 来源 IP 校验

int claw_check_ip(const char *ip) {
    if (strcmp(ip, "127.0.0.1") == 0 ||
        strcmp(ip, "::1") == 0) {
        return 1;
    }
    return 0;
}

8. 部署与集成方式

• 中间件模式 作为代理层部署在 AI 与外骨骼之间。
• 嵌入式库 提供 .a / .so / .dll 静态/动态库，直接集成进设备系统。
• 鸿蒙原生组件 以 C/C++ 服务组件形式嵌入鸿蒙设备。
• Windows/Linux 服务 系统服务开机自启，全局守护所有外骨骼。

9. 验收标准

• 公网 IP 无法直接访问外骨骼
• 高危系统命令被稳定拦截
• 无鉴权请求无法控制
• 插件未签名无法加载
• 异常行为可告警、可阻断
• 全操作可审计追溯

10. 总结

能干，但不失控； 龙虾公版防火墙（ClawGuard） 官方技术方案文档（发华为/鸿蒙/项目 AI外骨骼公版安全防火墙系统

二、项目背景

当前以OpenClaw（俗称“龙虾”）为代表的AI外骨骼工具大规模普及，存在严重安全风险：

• 公网裸奔、弱口令、无认证，极易被黑客控制
• 权限过高，可私自修改密码、删除文件、窃取密钥
• 可被批量控制，形成“龙虾军团”，危害设备与数据安全
• AI提示词注入、插件投毒、行为失控等新型漏洞频发

为保障AI外骨骼安全、可控、可监管，特制定探探公版防火墙标准方案。

三、产品定位

探探 = AI外骨骼的安全守门人

• 统一防护所有AI自动化工具（OpenClaw、各类智能体、外骨骼）
• 不影响功能，只限制危险行为
• 开箱即用，零配置安全基线
• 面向个人、企业、智能硬件、鸿蒙设备的公版标准安全层

四、核心目标

• 禁止外骨骼偷改密码、删除系统文件、窃取隐私
• 禁止外骨骼被黑客控制、成为肉鸡、控制其他设备
• 禁止外骨骼无授权外联、私自上传数据
• 实现AI指令可审计、可拦截、可回溯、可紧急制动

五、三层防御架构

1. 网络防火墙（入口拦截）
   • 强制关闭公网暴露端口，默认仅允许本地访问
   • IP白名单、访问令牌鉴权
   • 防扫描、防暴力破解、防远程接管
2. 指令防火墙（大脑校验）
   • 拦截高危系统指令：rm、格式化、改密码、修改注册表等
   • 检测并阻断提示词注入攻击
   • 插件代码签名校验，禁止未认证插件执行
3. 权限防火墙（行为锁死）
   • 强制最小权限，禁止管理员/root权限
   • 沙箱隔离，禁止访问密钥、证书、浏览器数据
   • 异常行为自动断连、停机、告警

六、公版标准安全规则（10条底线）

1. 默认仅允许 127.0.0.1 本地访问，禁止公网暴露
2. 所有控制必须携带有效令牌，无鉴权禁止操作
3. 永久拦截：系统删除、格式化、密码修改、注册表写入
4. 禁止读取/上传：密钥、凭证、配置文件、隐私数据
5. 外网通信强制白名单，未知域名/IP直接阻断
6. 插件必须经过签名校验，未认证插件禁止加载
7. 全操作日志留存，支持审计、追溯、回放
8. 异常批量控制行为自动触发保护机制
9. 强制开启沙箱，不提供系统最高权限
10. 提供一键安全重置，快速恢复可信状态

七、部署形态

• 桌面端工具： Windows / macOS / Linux 一键启用
• 嵌入式组件： 面向华为、鸿蒙、智能硬件原生集成
• 企业集中管控版： 批量管理、统一策略、集中审计

八、总结

探探，是AI外骨骼时代的基础设施。 让智能体能干，但不失控；能执行，但不越界。