在构建基于本地文档的RAG（检索增强生成）Agent时，开发者常陷入两难：既要让Agent充分理解业务上下文，又要防止它摄取敏感信息。本文将解剖三个关键防线，并给出可落地的检查清单。

一、扫描边界的致命盲区

大多数Agent默认从工作目录或指定路径加载文档，但以下区域常被忽视： 1. Shell历史文件（如~/.bash_history）可能包含密钥、服务器地址 2. 下载文件夹中的临时文件（如合同扫描件） 3. 挂载的云盘/NAS同步目录可能携带个人隐私 4. IDE/编辑器缓存（如.vscode/下的调试日志）

实测案例：某医疗Agent因索引了医生的临时笔记文件夹，导致患者病历片段出现在生成结果中

二、必须拦截的6类高危文件

基于ClawSDK的沙箱审计日志，我们统计出最需过滤的类型：

1. 密钥与凭据
2. 模式匹配：*_rsa、*.pem、credentials*.json
3. 高危路径：~/.ssh/、~/.aws/
4. 结构化财务数据
5. 银行对账单（PDF/Excel）
6. 含身份证号的扫描件（正则检测[1-9]\d{5}(18|19|20)\d{2}）
7. 通讯录与聊天记录
8. macOS：~/Library/Messages/
9. Windows：%USERPROFILE%\AppData\Local\Packages
10. 医疗影像文件
11. DICOM格式（.dcm）
12. 含DICOM标签的JPEG（需二进制头检测）
13. 法律文书
14. 已签名合同（关键词："本页以下无正文"）
15. 诉讼材料（含案号、法官姓名）
16. 源代码仓库
17. .git/config中的远程仓库密码
18. pom.xml/package.json中的私有依赖库配置

三、双校验防护架构

仅靠路径过滤不够，推荐层级防御：

索引层校验（ClawBridge典型配置）

# 在clawbridge.yaml中
rag_filters:
  file_size_max: 5MB  # 阻止大文件消耗资源
  mime_blacklist: ["application/octet-stream"]
  path_regex_deny: 
    - "/\\.(ssh|aws)/"
    - "/(Downloads|Temp)/"

工具层动态拦截（WorkBuddy插件示例）

@tool(metadata_filter={"owner": "finance-team"})
def read_pdf(filepath: str) -> str:
    if detect_sensitive_phrases(Textract(filepath)):
        raise PermissionError("触发敏感词拦截")

四、删除≠安全：遗忘的技术现实

当用户要求删除被索引内容时，需明确告知： 1. 向量数据库的DELETE操作可能残留内存副本 2. 模型微调数据难以追溯移除（对比RAG的可逆性优势） 3. 日志备份中的查询记录仍需额外清理

五、实施中的工程挑战

在实际部署中，我们遇到以下典型问题及解决方案：

1. 性能与安全的权衡

• 问题：实时内容检测导致索引速度下降60%
• 方案：
• 对已校验文件建立哈希白名单
• 使用eBPF监控文件修改事件触发重检

2. 多租户隔离

• 医疗场景需求：同一Agent服务不同科室时需隔离数据
• 实现：
• 在ClawOS中为每个租户创建独立cgroup
• 通过SELinux策略限制跨科室文件访问

3. 审计合规性

• 金融监管要求：需证明敏感数据未被索引
• 技术措施：
• 在ClawSDK中启用--audit-mode生成取证报告
• 使用TLS加密的审计日志传输通道

六、进阶防护策略

对于高安全场景，建议补充以下措施： 1. 硬件级隔离 - 使用Intel SGX enclave处理敏感文档 - 配备HSM模块存储索引加密密钥 2. 动态权限 - 基于LDAP属性动态调整可访问路径 - 工作时间外自动关闭文档读取权限 3. 行为分析 - 检测异常高频读取模式 - 对跨领域文档访问触发二次认证

检查清单：部署前的10项确认

1. [ ] 审计所有挂载存储设备的自动索引风险
2. [ ] 测试.DS_Store等隐藏文件是否被意外解析
3. [ ] 配置沙箱对/proc/self/environ的读取拦截
4. [ ] 验证文件修改时间是否被作为元数据采集
5. [ ] 关闭开发调试模式下的完整错误返回（避免泄露路径）
6. [ ] 对Office文档启用宏病毒扫描前置
7. [ ] 在Dockerfile中设置--read-only挂载点
8. [ ] 定期运行grep -r "API_KEY" /indexed_paths
9. [ ] 确保Telegram Bot不会处理/document消息类型
10. [ ] 在ClawOS中启用seccomp系统调用过滤

结语

本地RAG的安全部署需要贯穿整个生命周期管理： - 设计阶段：采用最小权限原则，默认拒绝所有访问 - 运行阶段：实施实时监控与动态策略调整 - 维护阶段：建立定期的安全审计机制

最终建议：默认采用保守策略——宁可Agent功能受限，不可越过数据治理红线。对于医疗、金融等场景，建议在ClawHub市场选购经FIPS 140-2验证的专用索引模块。

延伸阅读： - OpenClaw社区《沙箱逃逸防护指南》 - NIST SP 800-204关于AI系统安全的实施框架 - ClawBridge 2.3版本新增的文件指纹去重功能说明