# CorpClaw-Lite: bezpieczna alternatywa OpenClaw dla zadań korporacyjnych
Popularne agenty LLM, takie jak OpenClaw, demonstrują ryzyka bezpieczeństwa i architekturę jednoużytkownikową. CorpClaw-Lite oferuje rozwiązanie do użytku korporacyjnego z priorytetem na poufność i ochronę danych. Projekt jest otwartoźródłowy i skupia się na trzech kluczowych aspektach: bezpieczeństwie, trybie wieloużytkownikowym oraz wsparciu dla lokalnych modeli.
Pułapki popularnych agentów LLM
OpenClaw i jego forki, które zyskały popularność na początku 2026 roku, pokazały, że automatyzacja zadań za pomocą LLM jest możliwa, ale wiąże się z krytycznymi wadami. Główne problemy:
- Brak izolacji użytkowników: agenci uruchamiane są lokalnie bez podziału workspace, co prowadzi do wycieków danych.
- Luki bezpieczeństwa: znane są przypadki usuwania plików i wysyłania danych do niewłaściwych odbiorców.
- Ograniczona obsługa lokalnych modeli: dominują LLM chmurowe, ale lokalne modele (4-8B parametrów) często nie radzą sobie ze złożonymi scenariuszami z powodu ograniczeń kontekstu.
Architektura OpenClaw od początku nie jest przystosowana do wielu użytkowników. Każdy uruchomienie to oddzielna instancja dla jednego użytkownika. W użytku korporacyjnym jest to nie do przyjęcia ze względu na wymagania poufności i zarządzania dostępem.
Architektura bezpieczeństwa: izolacja i kontrola dostępu
CorpClaw-Lite rozwiązuje te problemy na poziomie architektury. Kluczowe komponenty:
Ścisła izolacja kontenerowa. Każdy użytkownik pracuje w oddzielnym kontenerze Docker z network_mode: none — całkowity zakaz dostępu do sieci. Pliki użytkownika przechowywane są w izolowanym workspace, montowanym tylko w jego kontenerze. To zapobiega przenikaniu danych między użytkownikami. Wszystkie operacje sieciowe (np. zapytania webowe) są przeniesione na host lub zdalne serwery MCP. Komunikacja jest zabezpieczona podpisem HMAC-SHA256 i ochroną przed atakami replay.
Model dostępu oparty na rolach (RBAC). Projekt obsługuje 10 departamentów, każdy z własnym zestawem narzędzi i limitami (liczba iteracji, wywołań narzędzi, czas wykonania). Na przykład księgowy nie widzi narzędzia search_files w obcym workspace, a sekretarz HR nie może uruchomić exec_script.
ToolGuard — wielopoziomowa weryfikacja narzędzi. Przed każdym wywołaniem narzędzia system sprawdza je pod kątem zgodności z regułami. Zaimplementowano ponad 20 reguł YAML z wzorcami regex, podzielonych według poziomu zagrożenia:
CRITICAL: automatyczna blokada (np.rm -rf)HIGH/MEDIUM: żądanie potwierdzenia od użytkownikaINFO: logowanie
Dodatkowo stosowany jest Smart Approvals: LLM ocenia ryzyko polecenia. Jeśli operacja jest bezpieczna — wykonuje się automatycznie. W przypadku niejednoznacznych działań użytkownik otrzymuje żądanie potwierdzenia w Telegramie za pomocą inline-przycisków.
Praca z lokalnymi modelami: stabilność i elastyczność
CorpClaw-Lite jest zoptymalizowany pod lokalne LLM. Główne rozwiązania:
XML Tool Calling. Dla modeli bez natywnego wsparcia function calling zaimplementowano parsowanie wywołań narzędzi poprzez XML:
<invoke><name>read_file</name><arguments>{"path": "report.xlsx"}</arguments></invoke>
Stosowany jest dwupoziomowy parsing: native SDK → fallback XML → pętla naprawy JSON. Zapewnia to stabilną pracę nawet na słabszych modelach, jak Qwen3.5 9B w kwantyzacji Q4_K_M.
LLM Router. Umożliwia kierowanie zadań do różnych modeli poprzez konfigurację YAML:
- Zadania wizyjne — na model z wizją
- Konsolidację danych — na lokalny model mniejszego rozmiaru
- Złożone łańcuchy agentowe — na potężny model
System kalibracji. Model chmurowy analizuje, jak lokalny radzi sobie z typowymi scenariuszami, i automatycznie koryguje systemowe prompty, opisy narzędzi oraz przykłady few-shot. Po kalibracji model chmurowy nie jest już potrzebny — całe obciążenie spada na lokalny. Kalibracja modyfikuje tylko konfiguracje YAML/Markdown, nie dotykając kodu Python.
Zarządzanie kontekstem i pamięcią
Dla utrzymania wydajności podczas długich sesji zaimplementowano mechanizmy:
- Konsolidacja kontekstu. Co 50 wiadomości LLM generuje podsumowanie, skracając nagromadzony kontekst. Proces ma cooldown i nie uruchamia się podczas aktywnego workflow.
- Kompresja kontekstu. Po osiągnięciu 80% maksymalnego kontekstu stosowane jest trójpoziomowe kompresowanie:
1. Obcinanie starych wyników narzędzi
2. Sanitizacja danych
3. Podsumowanie LLM środkowej części z zachowaniem początku i końca
- Baza faktów. Długoterminowe dane przechowywane są w SQLite. Agent może zapisywać i odczytywać fakty powiązane z użytkownikiem, rozszerzając osobiste instrukcje.
Subagenci: zwiększenie stabilności lokalnych LLM
Główny problem lokalnych modeli to degradacja przy wzroście kontekstu i liczby narzędzi. CorpClaw-Lite wykorzystuje subagentów do podziału obowiązków:
Główny agent przekazuje zadanie subagentowi, który ma:
- Izolowany kontekst
- Ograniczony zestaw narzędzi
- Specyficzne instrukcje i podłączone umiejętności
Po wykonaniu subagent zwraca wynik głównemu agentowi. Oszczędza to 60-80% okna kontekstowego i zwiększa stabilność.
Zaimplementowano 5 subagentów:
| Subagent | Narzędzia | Przeznaczenie |
|----------------------|-----------------------------------------------------------------------------|--------------------------------|
| filesystem-agent | read_file, list_files, search_files, write_file, edit_file | Operacje plikowe i wyszukiwanie |
| document-agent | read/write/edit_file, normalize_excel, list_files | Praca z dokumentami |
| execution-agent | exec_script, write_file, read_file | Wykonywanie skryptów |
| research-agent | web_fetch, read_file, search_files, memory | Badania internetowe |
| data-agent | table_query, chart_generate, convert_format, pdf_reader, diff_text | Analiza danych, SQL, wykresy |
Zalety: szybkość lokalnego modelu, zmniejszenie kontekstu. Wada: możliwa niedostateczność instrukcji wejściowej, ale kompensowana umiejętnościami i izolacją.
Praktyczne zastosowanie przez Telegram
Interakcja z CorpClaw-Lite odbywa się poprzez bota Telegram:
- Administrator rejestruje użytkownika po Telegram ID i przypisuje rolę.
- Przy pierwszym uruchomieniu użytkownik przechodzi onboarding (6 pytań o preferencje), po czym generowany jest spersonalizowany plik instrukcji.
- Praca z agentem za pomocą komend bota:
/start — rejestracja i powitanie
/delete — interaktywny menedżer plików (usuwanie tylko z potwierdzeniem)
/setup — ponowny onboarding
/new — reset historii dialogu
Ważne rozwiązanie UX: usuwanie plików możliwe tylko przez interaktywny interfejs z potwierdzeniem. Agent fizycznie nie może usunąć pliku na polecenie LLM — ochrona przed halucynacjami. Podczas wykonywania zadań bot pokazuje postęp (np. 📂 Czytam plik...), by użytkownik widział aktywność.
Co jest ważne
- Izolacja na poziomie kontenerów gwarantuje, że użytkownicy nie mieszają się danymi i nie mają dostępu do sieci.
- ToolGuard z Smart Approvals blokuje niebezpieczne polecenia przed wykonaniem, minimalizując ryzyka.
- Optymalizacja pod lokalne LLM poprzez XML Tool Calling i subagentów czyni rozwiązanie nadające się do użycia bez API chmurowych.
- Elastyczny model ról z 10 departamentami pozwala łatwo skalować system pod procesy biznesowe.
- Kontrola kontekstu zapobiega degradacji wydajności podczas długich sesji.
— Editorial Team
Brak komentarzy.