[原创] ClawSandbox: 内核级沙箱，助你安全养虾！

项目链接：

GitHub：db3K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6w2e0W2y4G2k6Y4c8Q4x3V1k6o6L8r3q4%4f1$3q4F1k6r3u0G2P5l9`.`.
官网：276K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6C8L8Y4y4G2k6Y4c8Q4x3X3g2G2M7X3N6Q4x3V1k6o6L8r3q4%4f1$3q4F1k6r3u0G2P5q4)9J5c8R3`.`.
下载链接：298K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6C8L8Y4y4G2k6Y4c8Q4x3X3g2G2M7X3N6Q4x3V1k6o6L8r3q4%4f1$3q4F1k6r3u0G2P5q4)9J5c8V1y4D9j5i4N6e0j5h3&6V1j5X3!0^5i4K6g2X3N6U0q4Q4x3X3f1H3i4K6u0W2x3q4)9J5k6e0N6*7

背景
本地 AI Agent（以 OpenClaw 为例）在执行任务时通常会读写本机文件系统。实际使用中更常见的风险不是“越权读”，而是误删/误改/误覆盖（提示词歧义、路径处理 bug、第三方技能不可靠等）。
因此做了 ClawSandbox：用 Windows 文件系统 minifilter 在内核层拦截写路径，把“写入范围”收敛到安全目录，作为一层粗粒度护栏。
实现概览

形态：驱动（file activity minifilter）+ 启动器（安装/启动/卸载服务）
拦截点：
IRP_MJ_CREATE（识别写访问、覆盖、delete-on-close 等）
IRP_MJ_WRITE
IRP_MJ_SET_INFORMATION（rename/link/disposition/end-of-file/allocation 等）


进程跟踪：
PsSetCreateProcessNotifyRoutineEx 追踪目标进程及其子进程
默认识别 OpenClaw/LobsterAI/EasyClaw（规则集中在 Rule.List.c，可扩展）


拒绝策略：
仅在“被跟踪进程”尝试对非允许路径写入时拒绝
拒绝状态：STATUS_LPAC_ACCESS_DENIED（也可改为 STATUS_ACCESS_DENIED）


默认策略

允许读取任意文件
只允许写入：
临时目录
目标工具相关目录（例如路径包含 openclaw）


TODO, PR welcome!

更精细的读写控制策略
可自由配置的读写控制策略
应用层UI配合

使用说明与演示
运行 ClawSandbox.exe（程序启动时自动安装驱动服务） -> 点击启动（启动驱动服务/加载 minifilter） -> 再启动 OpenClaw；退出程序时会先停止沙箱，再清理其自动安装的服务。
注：Release 包因为没有受信任的 EV 签名，少数安防可能误报，严肃使用建议自行编译发布。
演示：OpenClaw已无法删除工作区外的D:\1.txt了


传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！


最后于 2026-3-20 03:17
被Ratin编辑

，原因：

---
来源: 看雪论坛
原文链接: https://bbs.kanxue.com/thread-290410.htm