一句话看懂:来自 Deno 团队的 Claw Patrol 是一个用 Go 编写的开源项目,通过接管 WireGuard 或 Tailscale 的 TCP 连接,解析底层应用协议(如 HTTP、PostgreSQL、SSH),为 AI 代理访问生产系统提供可编程的访问控制与审计。它填补了现有 LLM 代理解决方案对底层协议支持不足的空白。
事件核心:发生了什么
在 Hacker News 上,Deno 团队发布了名为 Claw Patrol 的开源安全工具。该工具的核心思路是:当 AI Agent 需要动态操作真实的生产环境(如 PostgreSQL 数据库、Kubernetes 集群、GCP、ClickHouse、GitHub 等)时,Claw Patrol 通过 WireGuard 或 Tailscale 终止 TCP 连接,解析底层协议(例如 HTTP、postgres、SSH),并根据用户定义的规则允许或拒绝请求。对于破坏性操作,工具支持由其他 LLM 审核、人工审批以及记录日志。该项目采用 MIT 许可证,使用 HCL 语言进行配置,基于 Go 语言开发。
为什么重要
当前市场上的 AI 代理安全方案主要有三类:LLM 网关、MCP 代理和沙盒环境,它们大多聚焦于 HTTP 层面或凭证注入。Claw Patrol 的独特之处在于侧重“协议级防火墙”思路:它可以直接解析非 HTTP 协议,例如穿透 Kubernetes 隧道访问的 PostgreSQL。这对于必须触及真实基础设施的 AI Agent 而言,提供了一种比沙盒更轻量、比网关更底层的可控方案。正如社区评论指出,这类工具可与凭证管理工具(如 Agent Vault)互补,形成“动作防火墙在前,凭证代理在后”的安全链路。
对用户/开发者/创作者的影响
对于构建自主 AI Agent 的团队,Claw Patrol 提供了一种可落地的“安全带”思路:开发者可以直接配置策略,限制 Agent 访问特定数据库 IP、SSH 端点或仅允许只读查询,而将写入、删除等高风险操作留给人工或二次 LLM 确认。目前项目提供示例配置文件,并由 Agent 自动生成配置。不过,由于该工具需要接管 WireGuard 或 Tailscale 的网络层,意味着部署者需要一定的网络知识。对个人开发者而言,适合用于构建更加安全的本地或私有化 Agent 环境。
值得关注的后续
首先,该项目出自 Deno 团队,未来是否会与 Deno 或 JavaScript 生态做深度集成值得关注。其次,社区已经讨论了多种合规报告与策略即代码(Policy-as-Code)的拓展思路,GitHub 上已有相关功能提案。最后,随着更多 Agent 框架接入 MCP 协议,类似 Claw Patrol 的低层网络控制与上层 Agent 框架的协同发展,将是值得观察的一个方向。
来源:hackernews
![[Bug]: mmcv build failed with CUDA 12.8](https://www.chat-gpts.plus/wp-content/uploads/2026/06/4088-12e7b99e-768x403.jpg)
