Agent 执行高危 Shell 命令：Docker 沙箱真的能拦住 rm -rf 吗？

2600_96123551

0人浏览 · 2026-06-07 13:15:48

2600_96123551 · 2026-06-07 13:15:48 发布

当开发者赋予 AI Agent 本地 Shell 执行权限时，一个经典的安全悖论随之而来：既要保持自动化效率，又要防范 rm -rf 这类毁灭性命令。本文将基于 OpenClaw 工具栈的实践，拆解容器隔离的真实防护边界与必须叠加的防御层。

一、沙箱逃逸的三大高危场景

挂载穿透
Agent 若需访问宿主机文件（如日志分析），常见的 -v /:/host 挂载会瞬间击穿容器隔离。某电商团队曾因 Agent 误执行 chmod -R 777 /host 导致全线服务宕机。
深层分析：即使使用 :ro 只读挂载，攻击者仍可能通过 /proc/self/mem 内存写入突破限制
防护建议：改用 docker cp 按需传输文件，或使用 ClawSDK 的 SafeMount 模块进行访问控制
环境变量注入
通过精心构造的 PATH 或 LD_PRELOAD，攻击者可诱导 Agent 调用被劫持的二进制文件。ClawSDK 的审计日志显示，这类攻击占实际渗透尝试的 34%。
典型攻击链：
1. 上传恶意 so 库到 /tmp
2. 设置 LD_PRELOAD=/tmp/evil.so
3. 触发普通命令如 ls 执行恶意代码
防御方案：启用 --security-opt=no-new-privileges 并清空敏感环境变量
共享命名空间隐患
当多个 Agent 共享同一容器时，某个被攻破的实例可通过 docker exec 横向扩散。今年年 PyPI 恶意包事件中，攻击者正是利用该漏洞批量清空用户目录。
隔离建议：
- 每个 Agent 独占容器实例
- 使用 --userns-remap 映射非 root 用户
- 限制 docker.sock 访问权限

二、防御矩阵的四层实践

第一层：强制访问控制（MAC）

策略引擎：ClawHub 集成 AppArmor 的默认配置文件，禁止以下操作：
```
deny /bin/rm -rf,
deny /usr/bin/chmod 777,
deny /usr/bin/dd if=/dev/urandom
```
动态拦截：WorkBuddy 会在运行时阻断违反策略的命令，并触发 Telegram 告警通道。
扩展防护：对 /sys、/proc/sys 等敏感路径设置只读访问

第二层：文件系统沙箱

OverlayFS 只读层：Agent 的工作目录挂载为 overlay 的 upperdir，所有写入操作均被重定向到易失性存储
敏感路径过滤：通过 eBPF 监控 openat 系统调用，阻断对 /etc、/root 的访问
临时文件清理：设置 inotify 监控，在会话结束时自动清除 /tmp 下创建的文件

第三层：命令审批流

对于以下高危模式，ClawBridge 会强制中断执行并推送审批请求： 1. 含通配符的路径删除（如 rm -rf /tmp/*） 2. 直接操作块设备（如 dd、mkfs） 3. 内核参数修改（如 sysctl -w） 4. 网络配置变更（如 iptables、ip route）

第四层：回溯审计

通过以下字段构建不可抵赖的操作链： - 会话指纹：SSE-C 加密的 (user_id + timestamp + container_id) - 完整命令行：保留原始参数（包括管道和重定向） - 影响分析：记录 inode 变更和子进程树 - 执行上下文：捕获触发时的环境变量和调用栈