WorkBuddy 工作区 trust profile 三级模型：沙箱与权限的工程落地

2600_96123542

0人浏览 · 2026-06-08 18:16:26

2600_96123542 · 2026-06-08 18:16:26 发布

在构建本地 AI Agent 工作流时，权限边界与信任模型的精细化控制是保障安全性的核心。本文将深入解析 OpenClaw 生态中 WorkBuddy 工作区的 trust profile 三级模型 设计原理与工程实现，重点聚焦其与沙箱、工具调用的联动机制。

信任分级的设计矛盾

WorkBuddy 作为常驻工作区管理器，需平衡两种需求： 1. 自动化效率：高频工具调用（如文件操作、API 请求）需最小化人工干预 2. 风险控制：对敏感操作（如 rm -rf、支付接口）需强制二次确认

三级模型的划分依据来自 操作影响半径 和 可逆性： - L1（全自动）：仅限读取操作与环境信息查询（如 ls、curl 非敏感 API） - L2（需会话内确认）：写入操作但影响范围可控（如创建文件、调用内部工具链） - L3（需人工审批）：涉及资金、数据删除或跨租户操作

技术实现关键点

1. 策略引擎与 MCP 的耦合

WorkBuddy 通过 ClawSDK 的 PolicyHook 接口在工具调用前注入检查逻辑。以下为典型拦截流程：

# 伪代码：ClawSDK 的策略钩子实现
def before_tool_execute(tool_name, params):
    profile = get_current_trust_profile()  # 获取当前上下文信任等级
    if profile.require_approval(tool_name):
        raise ApprovalRequiredError(
            f"{tool_name} 需要人工审批", 
            approval_metadata=params
        )

2. 沙箱的差异化管理

不同信任等级对应不同的 ClawOS 沙箱策略： - L1：仅允许访问 /tmp/workbuddy_scratch 隔离目录 - L2：可挂载用户指定目录但禁止 chmod 等权限变更 - L3：全隔离环境 + 操作录像（通过 ptrace 审计 syscall）

3. 审批链路的可观测性

所有 L3 操作会生成 审计事件三要素： 1. 操作指纹（工具名 + 参数哈希） 2. 审批人/时间（来自 Telegram/Slack 审批插件） 3. 沙箱运行快照（通过 criu 保存状态）

扩展实践：动态信任调整

实际场景中，信任等级需要根据上下文动态调整。WorkBuddy 通过以下机制实现： 1. 会话历史分析：连续10次L2操作无异常则临时提升至L1（需配置 auto_promotion_threshold） 2. 时间衰减：每24小时重置信任等级（防止长期越权） 3. 敏感词触发降级：当工具参数包含 password、token 等关键词时强制降为L3