返回首页

安全的 LLM 代理:CorpClaw-Lite 企业版 | 概述

CorpClaw-Lite 是一个开源解决方案,用于在企业环境中安全使用 LLM 代理。该项目提供严格的容器隔离、本地模型支持以及多用户模式。该系统防止了类似 OpenClaw 等类似产品的风险。

CorpClaw-Lite:如何在企业环境中安全部署 LLM 代理
Advertisement 728x90

## CorpClaw-Lite:OpenClaw 的企业级安全替代品

像 OpenClaw 这样流行的 LLM 代理突显了安全风险和单用户架构问题。CorpClaw-Lite 为企业场景提供解决方案,重点强调隐私和数据保护。该项目开源,并突出三个关键特性:安全性、多用户模式以及对本地模型的支持。

流行 LLM 代理的隐患

OpenClaw 及其衍生项目在 2026 年初流行起来,它们证明了使用 LLM 实现任务自动化是可行的,但也暴露了严重缺陷。主要问题包括:

  • 缺乏用户隔离:代理在本地运行,没有工作区分离,导致数据泄露。
  • 安全漏洞:已知案例包括文件被删除以及数据发送给错误接收者。
  • 对本地模型支持有限:云端 LLM 占据主导,但本地模型(4-8B 参数)在复杂场景中往往因上下文限制而表现不佳。

OpenClaw 的架构从一开始就不是为多用户设计的。每次运行都是单用户独立实例。对于企业使用,这无法满足隐私和访问管理要求。

Google AdInline article slot

安全架构:隔离与访问控制

CorpClaw-Lite 在架构层面解决这些问题。主要组件:

严格的容器隔离。 每个用户在独立的 Docker 容器中工作,容器使用 network_mode: none —— 完全禁止网络访问。用户文件存储在隔离工作区,仅挂载到其容器。这防止了用户间数据交叉。所有网络操作(如网页请求)均卸载到主机或远程 MCP 服务器。通信使用 HMAC-SHA256 签名和重放攻击防护进行加密。

基于角色的访问控制 (RBAC)。 项目支持 10 个部门,每个部门有专属工具集和限制(迭代次数、工具调用、执行时间)。例如,会计无法看到他人工作区的 search_files 工具,人事秘书也无法运行 exec_script

Google AdInline article slot

ToolGuard —— 多级工具验证。 在每次工具调用前,系统根据规则检查。实现了 20+ 个 YAML 规则,使用 regex 模式,按威胁级别分类:

  • CRITICAL:自动阻断(如 rm -rf
  • HIGH/MEDIUM:用户确认提示
  • INFO:记录日志

此外,使用 Smart Approvals:LLM 评估命令风险。如果安全,则自动执行。对于模糊操作,用户通过 Telegram 的内联按钮收到确认提示。

本地模型协作:稳定性和灵活性

CorpClaw-Lite 针对本地 LLM 进行了优化。主要方案:

Google AdInline article slot

XML 工具调用。 对于不支持原生函数调用的模型,通过 XML 解析工具调用:

<invoke><name>read_file</name><arguments>{"path": "report.xlsx"}</arguments></invoke>

采用双层解析:原生 SDK → XML 备选 → JSON 修复循环。即使在 Qwen3.5 9B Q4_K_M 量化等较弱模型上,也能确保稳定运行。

LLM 路由器。 通过 YAML 配置将任务路由到不同模型:

  • 视觉任务 —— 路由到视觉模型
  • 数据整合 —— 路由到小型本地模型
  • 复杂代理链 —— 路由到强大模型

校准系统。 云端模型分析本地模型处理典型场景的表现,并自动调整系统提示、工具描述和少样本示例。校准后,无需云端模型 —— 所有负载转向本地。校准仅修改 YAML/Markdown 配置,不触及 Python 代码。

上下文与内存管理

为维持长时间会话的性能,实现了以下机制:

  • 上下文整合。 每 50 条消息,LLM 生成摘要以压缩累积上下文。该过程有冷却期,且在活跃工作流中不触发。
  • 上下文压缩。 达到最大上下文 80% 时,应用三级压缩:

1. 修剪旧工具结果

2. 数据清理

3. LLM 对中间部分摘要,同时保留开头和结尾

  • 事实库。 长期数据存储在 SQLite 中。代理可读写用户专属事实,扩展个性化指令。

子代理:提升本地 LLM 稳定性

本地模型的主要问题是上下文和工具数量增加时性能退化。CorpClaw-Lite 使用子代理分担职责:

主代理将任务委托给子代理,子代理具有:

  • 隔离上下文
  • 有限工具集
  • 特定指令和关联技能

完成后,子代理将结果返回主代理。这可节省 60-80% 上下文窗口,并提升稳定性。

已实现 5 个子代理:

| Subagent | Tools | Purpose |

|----------------------|--------------------------------------------------------------------------|--------------------------------|

| filesystem-agent | read_file, list_files, search_files, write_file, edit_file | 文件操作与搜索 |

| document-agent | read/write/edit_file, normalize_excel, list_files | 文档处理 |

| execution-agent | exec_script, write_file, read_file | 脚本执行 |

| research-agent | web_fetch, read_file, search_files, memory | 网页研究 |

| data-agent | table_query, chart_generate, convert_format, pdf_reader, diff_text | 数据分析、SQL、图表 |

优势:本地模型性能更快,上下文更少。缺点:可能输入指令不足,通过技能和隔离机制弥补。

通过 Telegram 实际使用

CorpClaw-Lite 通过 Telegram 机器人进行交互:

  • 管理员按 Telegram ID 注册用户并分配角色。
  • 首次启动时,用户完成入职引导(6 个偏好问题),生成个性化指令文件。
  • 通过机器人命令与代理交互:
/start — 注册与问候
/delete — 交互式文件管理器(仅确认后删除)
/setup — 重复入职引导
/new — 重置对话历史

关键用户体验决策:文件删除仅通过交互式 UI 并确认。代理物理上无法响应 LLM 命令删除文件 —— 防范幻觉。在任务期间,机器人显示进度(如 📂 正在读取文件...),让用户看到活动状态。

关键要点

  • 容器级隔离 确保用户不共享数据或网络访问。
  • ToolGuard 与 Smart Approvals 在执行前阻断危险命令,最小化风险。
  • 本地 LLM 优化 通过 XML 工具调用和子代理,实现无需云端 API 的可用性。
  • 灵活 RBAC 支持 10 个部门,轻松扩展到业务流程。
  • 上下文控制 防止长时间会话性能退化。

— Editorial Team

Advertisement 728x90

继续阅读