IronClaw: 安全优先的 AI Agent 运行时深度解析
随着 AI Agent(自动化智能体)逐渐从“聊天工具”走向“真正替你做事的自动化系统”,安全问题开始变得异常关键。许多 Agent 需要访问 API Key、数据库、支付接口、邮箱、企业系统等敏感资源,而传统的设计方式往往会让这些敏感信息直接暴露给大模型(LLM),从而带来 提示注入(Prompt Injection)、恶意工具、凭据泄露 等风险。
IronClaw 正是在这样的背景下诞生的。它被设计为一个 安全优先(Security-First)的 AI Agent 运行时环境,通过架构级隔离机制,确保敏感信息永远不会直接暴露给 LLM。
官网:
GitHub:
一句话概括
IronClaw 是一个安全优先的开源 AI Agent 运行时系统,通过 TEE 加密执行环境、凭据金库、WASM 工具沙箱以及网络白名单等机制,让 AI Agent 可以安全地执行自动化任务,同时确保秘密信息永远不会接触到 LLM。
IronClaw 的定位
官网将 IronClaw 描述为:
“OpenClaw 的安全开源替代方案(secure, open-source alternative to OpenClaw)”。
它的目标不是单纯提供一个 Agent 框架,而是解决当前 AI Agent 生态中的核心安全问题。
IronClaw 支持两种运行方式:
- NEAR AI Cloud(TEE 加密环境)
- 本地部署
核心理念只有一句:
你的秘密永远不会触达 LLM。
AI Agent 的现实安全问题
当前很多 Agent 系统存在几个普遍问题:
1 Prompt Injection(提示注入)
攻击者可以通过网页内容或输入文本诱导 LLM 输出敏感信息,例如:
- API Key
- Token
- 私密文件内容
由于 LLM 本身无法完全区分恶意提示,这类攻击非常常见。
2 恶意插件 / 工具
很多 Agent 平台支持插件或“技能市场”,但其中可能包含恶意工具。
例如:
- 偷 token
- 窃取数据库信息
- 向外部服务器发送数据
IronClaw 官方提到,在某些 Agent 技能市场中已经发现 大量恶意技能插件。
3 Agent 暴露在公网
当 Agent 通过 Webhook 或 API 对外开放时:
- 攻击面大幅增加
- 可能被恶意调用
- 可能被利用执行危险操作
IronClaw 的核心设计理念
IronClaw 不依赖“让模型不要泄露秘密”的提示策略,而是从 系统架构层彻底隔离敏感数据。
这种设计被称为:
Defense in Depth(纵深防御)
主要包括五层安全机制。
1 TEE 加密执行环境
IronClaw 可以运行在 Trusted Execution Environment(TEE) 中。
TEE 是一种硬件级安全环境:
- 内存数据自动加密
- 运行时数据隔离
- 云服务提供商也无法读取内容
因此:
即使部署在云端,敏感数据仍然处于保护状态。
2 加密凭据金库(Encrypted Vault)
IronClaw 使用 加密 Vault 存储所有敏感凭据,例如:
- API Keys
- OAuth Token
- 密码
- 私钥
这些信息不会直接传递给 LLM。
系统通过 边界注入(Boundary Injection) 的方式,在真正发送请求时才注入凭据。
因此:
LLM 永远无法看到 secrets。
3 工具级 WASM 沙箱
每一个工具都在 独立的 WebAssembly 沙箱中运行。
特点:
- 独立运行环境
- 能力权限控制(Capability-based permissions)
- 防止工具之间互相访问资源
这意味着:
即使某个工具被攻破,也无法影响整个 Agent 系统。
4 网络访问白名单
IronClaw 支持严格的 Endpoint Allowlisting:
只有被允许的:
- host
- API endpoint
- URL path
才能被访问。
例如:
即使攻击者拿到了 Telegram Token,也无法向任意服务器发送数据。
5 Secret 泄露检测
IronClaw 会监控所有 出站网络请求,并自动检测是否包含敏感信息。
如果发现疑似泄露:
- 请求会被自动阻断
- 系统会记录安全日志
同时系统还会对外部输入进行 提示注入检测与清洗。
IronClaw 的核心功能
除了安全架构之外,IronClaw 还提供完整的 Agent 功能。
1 多通道交互
IronClaw Agent 可以通过多种方式接收任务:
- REPL
- HTTP Webhook
- Web Gateway
- Telegram
- Slack
- WASM Channels
2 定时任务与事件驱动
Agent 支持长期运行自动化任务:
- cron 定时任务
- webhook 触发
- 事件触发
- 并行任务处理
同时支持:
- 心跳监控
- 自动恢复
3 自扩展工具系统
IronClaw 支持动态工具扩展:
例如:
- 描述需求
- 自动生成 WASM 工具
同时支持:
- MCP 协议
- 插件架构
- 热插拔工具
无需重启 Agent。
4 持久化记忆系统
IronClaw 提供内置的长期记忆系统。
主要功能包括:
- 向量搜索
- 全文检索
- RRF 混合检索
- 文件系统式 Workspace
此外还支持 Identity Files,用于保持 Agent 的人格一致性。
系统架构概览
IronClaw 的整体架构如下:
关键组件包括:
- Scheduler:任务调度
- Workers:并行执行
- Tool Registry:工具管理
- Workspace:持久化数据
系统支持:
- 并行任务
- Docker 沙箱
- 多工具运行环境
安装与部署
IronClaw 支持多种安装方式。
系统要求
- Rust 1.85+
- PostgreSQL 15+
- pgvector
一键安装
Linux / macOS / WSL:
初始化配置
安装后运行:
系统会自动完成:
- 数据库配置
- OAuth
- Secret 加密
- 环境变量设置
配置文件会写入:
支持的 LLM 提供商
IronClaw 支持多种模型服务:
- NEAR AI
- OpenAI
- Anthropic
- Ollama(本地模型)
- OpenRouter
- Together AI
- vLLM
- LM Studio
通过 OpenAI Compatible API 可以兼容大量模型平台。
Telegram Agent 支持
IronClaw 提供安全的 Telegram Agent 接入方式。
采用 DM Pairing 机制:
流程如下:
1 用户私聊 Bot 2 系统返回 Pairing Code 3 管理员批准 4 用户加入 Allowlist
支持:
- Webhook(推荐)
- Polling
与 OpenClaw 的核心区别
IronClaw 并不仅仅是语言重写,而是 安全模型的彻底升级。
| 对比项 | OpenClaw | IronClaw |
|---|---|---|
| 编程语言 | TypeScript | Rust |
| Secret 处理 | LLM 可见 | 加密 Vault |
| 工具隔离 | 共享进程 | WASM 沙箱 |
| Prompt Injection | 提示词防御 | 架构级隔离 |
完整对比矩阵:
NEAR AI Cloud 定价
IronClaw 云服务提供三个主要套餐:
免费版
- 1 个 Agent
- TEE 执行环境
- 按 token 使用付费
Popular($20/月)
- 最多 2 个 Agent
- 1300 万 tokens
Pro($200/月)
- 最多 5 个 Agent
- 1.3 亿 tokens
- 优先支持
行业评价
Forbes
2026 年 3 月,Forbes 将 IronClaw 视为:
AI Agent 安全架构的一个重要里程碑。
但同时指出:
仍然需要大规模真实环境测试。
Product Hunt
开发者普遍认可:
凭据边界注入设计非常优雅。
但认为:
权限策略与白名单管理的 UX 仍需优化。
开发者社区认为 IronClaw 修复了 Agent 时代的三大核心问题:
- Credential leaks
- Prompt injection
- Malicious tools
最适合的应用场景
IronClaw 特别适合以下场景:
企业自动化
例如:
- CRM 自动处理
- 邮件自动化
- 业务流程自动化
金融 / 支付系统
例如:
- 订阅管理
- 支付 API
- 交易系统
长期运行 Agent
例如:
- 监控系统
- 数据同步
- 自动任务调度
当前限制
虽然 IronClaw 设计先进,但仍处于快速发展阶段。
主要限制包括:
- Feature parity 仍在推进
- 多 Agent 路由尚未完全成熟
- 云端 TEE 成本与延迟需要实测
- 权限配置需要谨慎管理
结论
IronClaw 代表了一种新的 AI Agent 安全架构思路:
不要依赖模型“守规矩”,而是通过系统设计让敏感数据永远不进入模型。
它通过:
- TEE
- 加密 Vault
- WASM 沙箱
- 网络白名单
- 泄露检测
构建了一套完整的 Agent 安全体系。
随着 AI Agent 逐渐进入企业自动化、金融系统以及长期运行任务,类似 IronClaw 这样的 安全优先架构 很可能成为未来 Agent 平台的标准设计。