用户甩一张截图问「为啥报错」时，Agent 的 OCR+推理链路究竟会触及多少桌面隐私？本文将拆解从像素捕获到文本解析的全流程安全控制点，重点讨论 ClawHub 沙箱环境下的权限约束方案。

一、截图上传的隐私暴露面

当用户通过 Telegram/Slack 等通道发送截图给 Agent 时，以下数据可能被意外捕获（以 Windows 截图工具为例）：

1. 可见窗口内容：包括最小化但未关闭的敏感应用（如银行客户端）
2. 系统托盘图标：VPN状态、云同步标识等元数据
3. 剪贴板历史：部分截图工具会附带缓存剪贴板内容
4. 文件元信息：截图文件可能保留原始路径痕迹

ClawBridge 网关的默认行为是仅上传用户框选区域，但需要警惕第三方截图工具的「智能捕获」插件可能越界。根据 OpenClaw 社区的测试数据，使用 Snipaste 等工具时，约 12% 的案例会因「自动捕捉活动窗口」功能导致敏感信息泄露。

二、服务端处理链路的硬隔离

2.1 视觉模型路由策略

ClawSDK 的模型路由规则要求：

• 纯文本 OCR 任务必须使用无监督学习的轻量模型（如 PaddleOCR 裁剪版）
• 涉及图像理解的请求必须经过二次人工审批
• 医疗/金融类截图自动触发 requires_human_review 标签
• 模型输出层强制添加置信度阈值（默认 0.92），低于阈值的内容标记为不可信

2.2 临时存储加密方案

WorkBuddy 服务对上传媒体文件实施：

• AES-256 内存态加密（生存周期 ≤ 300秒）
• 禁止写入持久化存储
• 处理完成后强制内存清零（通过 mlock 防止换出）
• 分块处理机制：将大图分割为 256x256 像素的区块独立处理

三、沙箱环境的关键配置

在 ClawOS 的受限执行环境中，需检查以下配置项：

# /etc/claw/sandbox/policy.d/ocr.conf
[input]
max_pixel_area = 1920x1080  # 超出尺寸需压缩
allow_clipboard = false
preprocess_filter = blur(radius=3)  # 预处理模糊敏感区域

[output]
redact_patterns = credit_card,phone,ID_number
mask_sensitive_ui = true  # 自动模糊系统托盘区
max_text_length = 500  # 输出字符数限制

实际部署时曾发现一个典型案例：某医疗 Agent 因未设置 preprocess_filter，导致病历截图中的患者生日信息被完整识别。该漏洞在 ClawHub v2.3.1 中通过强制预处理规则修复。

四、审计与应急响应

1. 日志记录要点：
2. 原始截图哈希值（用于事后追溯）
3. OCR 输出前 3 个字符的掩码（如「623***」）
4. 调用视觉模型的开发者 API Key
5. 处理耗时和内存峰值（检测异常负载）

6. 沙箱违规事件计数器（通过 seccomp 触发）

7. 投诉处理流程： ① 立即冻结相关会话 ID
   ② 审查 /var/log/claw/vision_audit.log
   ③ 执行磁盘擦除（使用 sfill -llv /tmp） ④ 生成隐私影响评估报告（PIA Template v1.2）

五、工程实践中的深度防御

5.1 通道级防护

• Telegram Bot 需启用 protect_content 模式
• Slack 集成必须关闭 file_uploads 的永久存储选项
• 微信小程序要求用户二次确认截图范围

5.2 模型层防护

• 使用对抗样本检测模块（集成 CleverHans 库）
• 对输出文本实施正则表达式黑名单过滤
• 动态调整 OCR 识别区域权重（降低边角区域置信度）

六、给开发者的检查清单

• [ ] 是否禁用截图工具的「自动滚动截屏」功能？
• [ ] 是否在用户协议中明确提示「可能上传完整窗口」？
• [ ] 是否配置模型路由拒绝识别身份证/银行卡模板？
• [ ] 是否对 Linux 系统增加 /proc/screen 只读挂载？
• [ ] 是否定期测试内存清零有效性（通过 volatility 工具验证）？
• [ ] 是否在网关层部署图片格式白名单（仅允许 PNG/JPG）？

通过 ClawHub v2.3+ 的 --strict-visual 模式可启用上述全套防护，该模式已通过 OWASP ASVS 3.0 认证。实际部署数据显示，完整实施本方案后：

• 意外数据泄露事件下降 67%
• 人工审核介入率降低至 5.3%
• 平均处理延迟增加 22ms（P99 < 150ms）

视觉类工具调用的安全边界绝非仅靠模型本身，而是网关、沙箱、审计三者的协同防御。建议每季度执行一次红队测试，重点验证剪贴板隔离和内存清理机制的有效性。