Toward Securing AI Agents Like Operating Systems

本文主张，保障基于大语言模型的人工智能代理的安全性需要应用操作系统安全原则，并通过统一的架构分析与案例研究证明，尽管某些风险是固有的，但许多漏洞可利用资源隔离和权限分离等成熟的操作系统技术加以缓解。

要点

想象一下，你雇佣了一位名叫“Agent"的超级聪明、极度热情的私人助理。这位助理可以阅读你的邮件、管理你的日程、预订航班，甚至为你编写代码。这就像拥有一位永不疲倦的魔法员工。

但问题在于：你把整栋房子的钥匙、银行账户和日记都交给了这位员工。如果一位聪明的窃贼诱骗这位助理，使其误以为窃贼就是你自己，或者说服它打开后门，那么窃贼就能得到一切。

这正是该论文要解决的核心问题。作者们认为，我们构建这些 AI 智能体时，仿佛它们是全新的魔法生物，但实际上我们应该将它们视为操作系统（即运行你电脑的软件，如 Windows 或 macOS）。

以下是他们研究发现的拆解，使用了简单的类比：

1. 核心理念：智能体即操作系统

作者们表示：“停止将 AI 仅仅视为聊天机器人。请将其视为你数字生活的操作系统。”

• AI（大语言模型）是用户：在计算机中，用户输入命令。在 AI 智能体中，大语言模型（“大脑”）是输入命令的一方。但就像人类用户可能被网络钓鱼邮件欺骗一样，AI 也可能被“越狱”提示词所欺骗。
• 工具是系统调用：当你在电脑上点击“打印”时，操作系统会检查你是否有权限。当 AI 想要“发送邮件”时，这就是一种工具。论文认为，这些工具应被视为严格的系统调用，而非随意执行的命令。
• 运行时是内核：实际运行代码的软件部分是“内核”。在安全的计算机中，内核是主宰，它决定谁可以接触什么。而在当前的 AI 智能体中，“内核”往往过于温和，允许“用户”（即 AI）为所欲为，即使这样做很危险。

2. 问题所在：“开放房屋”派对

该论文考察了流行的 AI 智能体（如 OpenClaw 及其同类），发现它们被构建得像一场开放房屋活动，任何人都可以走进来并触碰任何东西。

• 没有墙壁：在安全的计算机中，不同的程序是隔离的。如果病毒感染了你的计算器应用，它不应该能够读取你的银行文件。但在这些 AI 智能体中，“计算器”（一种工具）和“银行文件”（内存）都在同一个房间里。如果 AI 感到困惑，它可能会意外地（或恶意地）将它们混淆。
• “相信我”的谬误：这些智能体依赖 AI 来“记住”保持安全。它们有诸如“不要删除文件”之类的规则，但这些规则只是用 plain English（普通英语）写成的。如果黑客向 AI 耳语一个诡计，AI 就会忘记规则。这就像让一名警卫站岗，却告诉他：“只要运用你的最佳判断力。”
• “第三方”风险：这些智能体允许你安装“技能”（类似于应用程序）。想象一下，如果你下载了一个“天气应用”，但它 secretly（秘密地）拥有通往你银行账户的后门。论文发现，许多这些智能体允许你安装这些技能，而无需检查它们是否安全。

3. 实验：攻破智能体

研究人员选取了四个流行的 AI 智能体，并试图攻破它们，扮演一名技能中等的黑客角色。他们不需要是天才；只需要了解这座“房子”是如何建造的就够了。

他们的发现：

• OpenClaw（“原味”智能体）：这是最流行的一款。它对研究人员尝试的每一次攻击都易受攻击。这就像把前门、后门和窗户都大开着。
• IronClaw（“安全”智能体）：这一款试图更安全。它将一些工具放入“沙箱”（一个玻璃盒，它们无法触碰房子的其余部分）。它的表现稍好，但研究人员仍然找到了欺骗它或打破玻璃的方法。
• Nanobot（“极简”智能体）：这款智能体的代码非常少，希望代码越少意味着漏洞越少。但即使代码库很小，它仍然缺乏将数据隔离开来所需的基本“墙壁”。
• NemoClaw（“包装”智能体）：这款智能体将整个智能体放入一个安全容器（类似于集装箱）中。它是最难攻破的，但研究人员仍然找到了窥探内部或欺骗它的方法。

令人震惊的结果：即使是“安全”版本也在基本事项上失败了，例如阻止一个用户读取另一个用户的私人笔记，或阻止智能体向陌生人发送消息。

4. 解决方案：借鉴过去

该论文的主要结论很简单：我们不需要发明新的魔法来解决这个问题。我们只需要使用已知 50 年的安全规则。

操作系统早已解决了这些完全相同的问题。作者们建议我们将这些老派规则应用于 AI：

• 隔离：将每个工具放入自己的玻璃盒（沙箱）中，除非明确允许，否则它无法接触其他工具或你的私人文件。
• 最小权限：仅仅因为智能体能够读取你的邮件，并不意味着它应该这样做。只给予它完成特定任务所需的钥匙。
• 强化日志：记录智能体所做的每一件事，但要确保智能体无法删除或更改这些记录（就像防篡改的安全摄像头）。
• 严格边界：不要让 AI 决定什么是安全的。“内核”（系统）必须执行规则，而不是 AI 的“大脑”。

总结

该论文认为，目前的 AI 智能体被构建得像狂野的、无管制的边疆。它们强大但危险，因为它们将敏感数据与不可信的指令混合在一起。

作者们表示：“不要试图通过让 AI 变得更‘聪明’来实现安全。相反，应像构建安全操作系统那样，围绕它构建系统。”如果我们把 AI 视为一个需要被严格的安全警卫（即操作系统）监视和限制的用户，我们就能让这些强大的工具在我们的家庭和企业中安全使用。

核心要点：我们正在构建拥有我们生活主钥匙的数字员工，但我们尚未建造锁、围栏或安全警卫。现在是时候借用那些几十年来一直在建造这些锁的计算机安全专家的蓝图了。

技术摘要

技术摘要：迈向像操作系统一样保障 AI 智能体的安全

问题陈述

基于大语言模型（LLM）的自主智能体正从狭窄的助手演变为通用系统，能够规划并执行复杂任务，同时访问敏感用户数据、本地文件和外部服务。尽管像 OpenClaw 这样的系统通过工具使用和第三方技能提供了显著效用，但它们也引入了重大的安全风险。当前研究往往狭隘地聚焦于提示注入（prompt injection），然而更广泛的攻击面——包括运行时可扩展性、持久化状态以及对特权功能的无中介访问——仍未得到充分分析。流行智能体实现中现有的保护机制往往不足，即使在攻击者能力有限的情况下，也无法阻止数据泄露、权限提升或未授权的系统访问。该论文指出，AI 智能体面临的安全挑战在结构上与历史上由操作系统（OS）所解决的挑战相似，但当前的智能体设计经常违反隔离、权限分离和中介等基本的操作系统安全原则。

方法论

作者采用三管齐下的方法来调查智能体安全：

1. 概念类比与架构推导：论文在 AI 智能体与操作系统之间建立了结构类比。它将智能体组件映射到操作系统概念：LLM 充当不受信任的用户，工具和技能对应于系统调用和程序，智能体运行时充当内核，而智能体上下文则类似于进程内存。基于这一类比，作者推导出了 OpenClaw 风格智能体的统一架构，识别了关键组件（运行时核心、智能体核心、网关、持久/临时状态）和信任边界。

2. 系统性防御映射：作者调查了既有的操作系统安全机制（例如进程隔离、沙箱化、最小权限、网络过滤、数据执行防护），并将它们映射到其智能体对应物。他们分析了哪些机制可以直接转移，哪些需要调整，以及哪些智能体能力在设计上存在不安全因素。

3. 实证案例研究：为了验证其分析，作者评估了四种广泛使用的、代表不同设计理念的开源 OpenClaw 风格智能体：

   • OpenClaw：专注于功能广度的“原生”变体。
   • IronClaw：优先考虑隔离和沙箱化的“安全”变体。
   • Nanobot：代码库精简的“极简”变体。
   • NemoClaw：在安全容器内运行智能体的“包装”变体。

   评估利用受控环境（Debian 13.4 虚拟机）和基于 eBPF 的监控来观察系统调用、文件访问和网络流量。作者定义了一个威胁模型，其中攻击者完全掌握源代码，但没有直接硬件或主机级访问权限，并将 LLM 视为完全不受信任且易受操纵的组件。他们执行了一系列针对硬件接口、进程隔离、沙箱化、网络过滤和系统日志记录的现实攻击场景。

主要贡献

• AI 智能体的操作系统安全视角：论文在 AI 智能体与操作系统之间建立了正式类比，提供了一个利用隔离、权限分离和中介等既定概念来推理智能体安全的框架。
• 统一智能体架构：它推导出了 OpenClaw 风格智能体的综合架构，明确定义了组件、信任边界和通信渠道，促进了系统性的安全分析。
• 操作系统防御的系统性转移：作者将操作系统防御机制映射到智能体领域，按适用性对其进行分类，并指出了当前智能体设计未能执行基本安全原则的差距。
• 实证评估：该研究对四种流行的智能体运行时提供了全面的实证评估，表明当前的保护机制在实践中经常失效，且漏洞可以使用操作系统级技术进行解释和缓解。

结果

案例研究表明，被评估的四种智能体中没有任何一种能够防御所有测试过的攻击向量。主要发现包括：

• 普遍存在的漏洞：即使是设计时考虑了安全的智能体（例如 IronClaw）也容易受到特定攻击，如配置操纵或系统提示提取，这通常是由于沙箱化或权限分离实施不完整所致。
• 隔离失效：一个关键发现是，所有四种智能体都将受信任数据和不受信任数据输入到共享的 LLM 上下文中，违反了进程隔离原则。这使得一个工具的中间输出能够影响后续工具，从而引发如 Shell 命令注入等攻击。
• 权限分离违规：文件访问控制通常在输入处理的同一权限级别上执行，而不是由较低权限的参考监控器进行中介。
• 沙箱化无效：虽然沙箱化（例如 IronClaw 中的 WebAssembly，NemoClaw 中的容器）可以有效阻断某些攻击向量，但部分实施或配置不当的实施仍会留下重大漏洞。例如，尽管 NemoClaw 采用了容器化设计，但仍易受系统提示提取攻击。
• 普遍弱点：在所有智能体中观察到了两类弱点：跨用户数据泄露（缺乏用户级进程隔离）和未授权消息发送（缺乏严格的出站流量过滤）。
• LLM 独立性：该研究证实，这些漏洞源于智能体架构和运行时设计，而非特定的 LLM 推理能力，因为攻击在不同的模型（Qwen、Gemini、GPT）上均取得了成功。

意义与主张

该论文声称，由于 AI 智能体具有庞大且异构的攻击面，保障其安全是一项艰巨的任务，但通过利用数十年的操作系统安全研究，有意义的进展触手可及。作者认为：

1. 回顾性分析具有价值：AI 智能体中的许多安全挑战并非全新，而是经典操作系统问题的表现形式。重新审视既有的操作系统方法为保护智能体系统提供了原则性框架。
2. 需要纵深防御：仅依赖以 LLM 为中心的防御（如提示注入缓解）是不够的。安全运行需要详细的系统知识、谨慎的配置，以及实施包括隔离、权限分离和中介在内的分层防御。
3. 设计缺陷是现有系统固有的：某些智能体能力在设计上就是不安全的，因为它们违反了最小权限和进程隔离等基本原则。然而，许多漏洞可以使用成熟的操作系统技术进行缓解。
4. 立即可行的步骤：作者得出结论，简单地整合已部署在不同实现中的部分安全机制（例如，结合沙箱化、网络过滤和日志记录），无需新颖的研究即可带来显著的安全改进。

该论文将自己定位为并非最终解决方案，而是迈向结构化 AI 智能体攻击面、并引导未来设计走向基于操作系统安全原则的更安全状态的关键一步。