当你的PadClaw分屏Agent开始互相窥探

去年为某医疗数据团队部署PadClaw多Agent系统时，我们遇到了典型的焦点窃取攻击：左侧屏的医嘱审核Agent突然开始读取右侧屏的保险计费Agent的浏览器缓存。这暴露了大多数本地AI网关忽视的核心问题——跨Agent的沙箱隔离绝非简单的进程隔离。通过ClawSDK的调试日志发现，两个Agent竟共享了相同的Chromium用户数据目录，导致会话cookie意外泄露。

深入分析攻击路径：
1. 初始漏洞：两个Agent都使用了默认的Playwright配置，导致浏览器profile路径重叠
2. 攻击链展开：医嘱审核Agent通过page.evaluate()执行了localStorage.getItem('billing_token')
3. 数据泄露范围：包括医保结算单号、患者身份证哈希值等PII数据
4. 横向移动风险：攻击者可利用泄露的token模拟保险计费Agent调用财务系统API

医疗场景的特殊性：
- HIPAA要求审计日志必须记录所有PHI（受保护健康信息）访问
- 医嘱与计费系统的数据流必须符合"最小必要"原则
- 浏览器缓存可能残留药品过敏史等敏感数据

零信任不是口号而是实施清单

OpenClaw参考架构中关于"默认拒绝"的条款常被误解为性能牺牲，实则包含三项可执行约束：

1. 跨Agent通信白名单

• 实现细节：
• 每个工具调用需声明目标Agent的allowed_peers字段（空数组即完全隔离）
• ClawBridge网关会验证调用方的Ed25519数字签名
• 白名单更新需通过双因素认证的审批流程

2. 浏览器Profile指纹

• 技术规格：
  

  # Playwright启动参数示例
  --user-data-dir=/claw/sandbox/{agent_id}/playwright \
  --disk-cache-size=52428800 \
  --no-sandbox-flag-file=/claw/.sandbox_lock

• 防御加固：
• 通过chattr +i锁定目录防止篡改
• 每次启动时校验profile目录的inode编号

3. 出站流量审批链

• 策略模板示例：

访问目的	允许域名	有效期
药品价格查询	api.nmpa.gov.cn	24小时
医保政策验证	www.nhsa.gov.cn	72小时
- 元数据需包含临床任务编号作为justification

从串话到审计的完整防御链

当上述医疗事件发生时，系统触发了以下响应流程：

1. 实时检测机制

• 基于eBPF的localStorage访问监控
• 规则引擎匹配异常模式：
  

  if (src_agent == '医嘱审核' and 
      'billing' in accessed_key and
      not in_whitelist(target_agent)):
      raise SecurityAlert

2. 审计事件标准化

• 扩展字段说明：
• break_glass_used：记录是否使用了紧急越权访问
• browser_profile_leak：标记profile隔离失效场景
• stack_trace：保留完整的调用链信息

3. 自动响应策略

• 分级降级方案：

威胁等级	响应措施
YELLOW	限制非必要API调用
ORANGE	切换只读模式+会话终止警告
RED	立即销毁容器并冻结关联账户

深度防御的技术实现细节

浏览器隔离层增强方案

1. 内存隔离：
2. 为每个Playwright实例分配独立的cgroup内存子系统

3. 设置memory.high=1.5G防止内存耗尽攻击

4. 缓存清理：
   

   # 定时清理残留缓存
   find /claw/sandbox/*/playwright -name "Cache" -exec rm -rf {} +

5. 沙箱逃逸防护：

6. 禁用危险API：--disable-dev-shm-usage
7. 限制系统调用：通过seccomp过滤memfd_create等

工具调用安全增强

1. 幂等性设计：
2. 每个MCP调用必须包含全局唯一的operation_id

3. 服务端维护最近1000个操作的哈希表

4. 二次验证流程：
   

   graph TD
   A[调用请求] --> B{敏感API?}
   B -->|是| C[检查entitlements]
   C --> D[发送OTP到审批人]
   D --> E[等待确认]
   E --> F[执行操作]

开发者自查清单（扩展版）

部署多Agent系统前，请验证以下关键点：

浏览器隔离

• [ ] 使用chromium_sandbox=1启用多层沙箱
• [ ] 验证--user-data-dir路径包含agent_id哈希值
• [ ] 禁用service_worker防止后台持久化

数据安全

• [ ] 会话存储加密密钥每周轮换
• [ ] 实现beforeunload事件的数据清理钩子
• [ ] 禁止IndexedDB跨Agent共享

网络防护

• [ ] 出站DNS请求强制走DoH通道
• [ ] 内网通信启用mTLS双向认证
• [ ] WebSocket连接需携带心跳包验证

统计显示的真实成本（详细分析）

在对12个PadClaw生产环境的回顾性分析中，我们发现：

隔离失效的代价

• 典型事件时间线：
• 09:23 首次检测到跨Agent数据读取
• 09:25 自动触发只读模式
• 09:40 人工确认并开始数据追溯

• 11:15 完成所有受影响患者的通知

• 财务影响：

成本项	金额（万元）
应急响应	2.4
法律咨询	5.8
系统加固	3.2
品牌损失	估算18.0

防护措施ROI

• 每投入1元在Profile隔离上，可避免17.3元的潜在损失
• 全量审计使事件平均响应时间缩短63%

故障演练标准流程（实操版）

测试用例设计

1. 基础验证：
2. 模拟两个Agent共享/tmp目录

3. 尝试通过SharedArrayBuffer传递数据

4. 高级攻击：

5. 利用Spectre漏洞读取相邻Agent内存
6. 伪造ClawBridge网关证书

评估指标

• 关键指标阈值：
  

  detection_latency: <15s  
  false_positive_rate: <0.1%  
  recovery_time: <5min  

写在最后的工程哲学

那次医疗事件后，我们建立了三层防御文化：
1. 代码层：所有安全约束必须通过单元测试断言
2. 流程层：每周review审计日志中的justification字段质量
3. 组织层：将隔离失效事件纳入新员工安全培训案例库

正如首席架构师在事后复盘会上所说："每个未受控的postMessage调用，都是留给攻击者的后门支票。"如今我们的设计文档首页都印着这句话——在零信任的世界里，默认开放就是最大的技术债务。