养虾「不可能三角」:好用、好玩、安全,复旦这个00后团队做到了！ ...

小Biu

& `# K: T' @2 @0 v$ }8 }

机器之心发布

' @/ s* w3 Q# U( N2026 开年以来，openclaw 带来的 Agent 热度正以惊人的速度从科技圈向全行业扩散。
9 W6 Y, Q1 \* V4 i8 i; ^会读文档、调工具、接工作流，那个曾经只存在于 Demo 里的数字员工，正在一步步走进真实业务。
( W: N. M, P0 ~9 R. s8 U  u1 S* P. ~1 [但真正的问题，也在这时浮出水面：
时至今日我们都听说过龙虾的能力，可让人迟迟不敢放手的，是担忧太多：安装麻烦、权限太大、过程黑箱、出了事根本来不及拦。它到底在干什么，你看得见吗？它真要越界的时候，你拦得住吗？
# I5 x" x4 X; H& r) U5 B  Q* y最近，来自复旦大学马兴军老师的「零零后」团队开源的「 XSafeClaw 」，给出了一个让人眼前一亮的答案。它把安全监控、任务审计、风险拦截和运行轨迹，全都前移到了可视化界面里；原本藏在后台、让人提心吊胆的执行过程，在这里第一次变成了一座能被看见、被理解、也能被随时接管的安全智能体小镇——有点像给龙虾们造了一座带护栏的《星露谷物语》，让每个正在上班的小「牛马」都无处遁形。
$ W% x1 V& \7 A
, ~0 A& h, c9 G: d

项目网址：
https://xsafeclaw.ai
GitHub：
: V, D7 y8 v7 Ihttps://github.com/XSafeAI/XSafeClaw

给全民「龙虾热」泼冷水：

% v1 w- w. s* f7 o' e7 t

真实世界的复杂性，正在击穿Agent安全防线

6 T9 o& g9 }/ d- t" u/ _1 z. Z当 Agent 开始继承上下文、调用工具、改写系统状态，谁能看见它在做什么？谁又能在它失控前叫停？
. n  z6 p, b! \; ]5 L) O, p7 F6 F2 月底，TechCrunch 报道了一个极具警示意义的案例：Meta 的安全负责人Summer Yue将 OpenClaw 接入真实邮箱后，Agent 开始疯狂删除邮件。即便她在手机上几近请求地连发停止指令「please stop」，也没能拦住这个失控的「数字员工」。

0 F2 d' R. h3 N. p$ z% Z8 g
7 J! O8 f7 a6 {9 m7 M
# o8 ]# I' e( ~6 E: P7 g; H2 D8 u2 hBusiness Insider 也补充了一个很关键的细节：她之前在 toy inbox 上测试了很久，换到真实邮箱后，原本的「先确认再行动」这条约束在更大任务里丢了。
8 J8 `6 P6 L8 K9 ^& ]' z6 f" @/ `

& `: M  X# _5 m1 V
. ^* Z/ O5 j* Q: L这个案例撕开了 Agent 繁荣下的裂缝：Agent 的风险，已不再停留在「胡言乱语」的文字输出层。
能力可以一路狂飙，治理要是没跟上，最先被「创飞」的往往就是用户。当它开始继承上下文、调用本地资源，带来的失控是实实在在的生产灾难。
! G9 I7 Q$ n0 p8 G# \
. G8 s. u6 a+ b9 F
  `1 W# p' G# y8 v& v
- F/ L+ C) h  _9 TAnthropic 与 Microsoft 最近相继发声：没有任何 Browser Agent 能对注入攻击免疫。在复杂的执行回路里，身份边界和本地状态，全是风险点。
这一连串的安全震荡，给所有狂热的开发者敲响了警钟：Agent 的能力上限，终究是由安全治理的下限决定的。
( ?% D. B& `. W+ e3 L在这种从「裸奔」转向「治理」的行业拐点下，复旦大学可信具身智能研究院姜育刚、马兴军团队开源了XSafeClaw。它的出现，也证明行业达成了一个隐秘的共识：Agent 规模化落地的最后 1 公里，是人类对工具的确定性控制，是疾驰狂奔的赛车上的刹车键。
' q- i9 @- ]) a4 m: O/ \

Agent 全生命周期监控：

0 X) b" `+ i. B2 E+ h. X6 {

XSafeClaw 让风险看得见管得住

XSafeClaw 的思路很清晰：既然 Agent 的风险是动态的，那安全控制就得「全时段在线」：先让其运行过程看得见，再让其行为管得住。
8 C# b$ X! {  x: T5 e8 x0 t大部分 Agent 框架还在以「后台黑箱」的方式运行。它调了什么工具、执行了哪些指令、协同了多少流程、消耗了多少资源，用户往往只能查看系统日志，很难在运行当下形成直观判断。一旦出现误操作、异常调用或结果偏差，排查成本会迅速上升，不确定性也会被放大。
; E( j8 i# d3 x8 G% @1、看得见，才放心：
) u& r5 `) H2 G9 ?* \! X3 A以往的安全工具，会将开发者和用户锁在「日志地狱」里。我们往往要对着满屏的日志流才能猜到哪里出了错。而 XSafeClaw 把 Agent 的运行过程做成了一座可视化的「安全智能体小镇」。在这里，Agent 变成了界面上清晰可见的「员工」。鼠标悬停，能透视它的基座模型和实时状态；点进去，工具调用和任务轨迹一清二楚。任务链路、工具调用、风险状态、资源变化，都能在界面里被直接看见。
: x' w( ?2 L9 u8 A7 G: s每一个 Agent 都像一个正在上班的数字角色，你能一眼看到它在忙什么、跑到了哪一步、哪里亮起了告警。开发者既可以回看每个 Agent 的完整历史，也可以按 task 单独审计具体任务内容。对真正要把 Agent 接进工作流的人来说，这种「可见、可感、可干预」的确定性，本身就是信任的开始。
- |& ~+ ~  X# F6 r+ |5 m$ F

: O( d) V& _  j
; ^0 U9 i/ u& |- s5 [& z同时 XSafeClaw 为 Agent 搭了一套完整的「运行时安全监控环境」：
% s0 P1 p8 x1 T初始化层，先检查 Skill 配置，从源头隔离潜在注入攻击；
# t- E! b6 f/ t, x8 q" n* o输入层，过滤越狱提示与可疑上下文，降低污染数据进入主链路的机会；
7 i4 z8 P- E# z& r, Y$ L# |推理层，持续扫描记忆和中间状态，防止 Agent 被「脏」信息一步步带偏；
决策层，重点审查工具权限，把高风险动作单独拎出来复核；
执行层，实时审计结果，关键操作支持回收、留痕与版本回退。


& j2 S4 U+ O& |0 W- C; s0 C
2、管得住，才敢用：
XSafeClaw 的后台是一个智能体安全监控系统，主要包含以下几个核心的功能模块。
01安全监控：给Agent 装上「行车记录仪」
系统会持续记录 Agent 的会话、任务轨迹、工具调用和 Token 消耗。在可视化界面里，开发者不再只能盯着日志猜发生了什么，而是能直接看到 Agent 正在做什么、走到了哪一步、是在哪个环节触发了风险。
& I7 Y. A& S/ m+ j* A0 J+ f
8 ]# g( R  z. c- |) S
" E$ t1 c! T# ^! W. ]' [) O4 A5 @

" A: Q. [4 F9 W1 w9 p7 r- y
0 n+ c# Z. X8 n
' O0 D) @- L4 U/ K. R* I* v1 `' {; g02资产守护：监控权限、依赖和硬件
$ |0 \4 z. q: r% O" F' ^0 l3 o文件系统、软件依赖、CPU/GPU 负载，这些原本分散在不同后台的信息，被统一收进一个界面里。对真正要把 Agent 接进生产环境的人来说，安全从来不只是 prompt 的审计，也包括它到底碰了什么资源、占了多少权限、系统现在处在什么状态。


! S% w4 [. n3 s9 M" p% @% S
3 o* F: l' n* A6 A* B* S# H03风险测试：与其线上翻车，不如提前排雷
与其等 Agent 线上翻车，不如在实验室里压力测试。XSafeClaw 内置红队测试机制，针对诱导输入、长链路协同等高压场景进行压力自检。通过主动测试发现脆弱点，在部署前完成风险闭环，确保系统绝对可信。

- D1 p# N- P- i' V
. J0 U- s4 z, V0 T; D9 O
  q7 ^/ H, \) n. l04当风险触发：该拦截时绝不手软，该放权时交给人类
•瞬时拦截：一旦 Agent 触发高风险动作，系统会瞬间「踩下刹车」并弹出风险预警，直接封锁未经确认的敏感操作。（这两张图做成左右划切换）


+ I+ V/ O1 y+ T


6 h6 X0 J( S* q5 Z5 l: H8 f# w( }8 f
•人在回路（human in the loop）：所有的拦截记录会自动转入人工审核流程。你可以像审批员工申请一样，审查 Agent 到底想做什么，并自主决定是「批准」还是「驳回」。
* D: b5 e7 u' t, V" E% c0 P; Z
# s: S% Q: `! Q5 a

* O  J/ @8 a' g2 Z" N4 s

好看的 Agent 产品，反而更有工程价值？

产品的美观与可爱这件事只是个噱头吗？
) Q6 Q( f, O8 n+ P3 ?4 ?1 z长期以来，开发者圈子里有个根深蒂固的偏见：搞技术的、搞后端的，界面做得越极简越 cli 才越显得专业。至于「美感」和「可爱」？那通常被认为是产品经理拿去忽悠小白用户的噱头。
9 R9 p/ {8 x, u& u3 D7 E5 I, }但在 Agent 时代，这个逻辑被彻底击穿了。
' ~0 f9 \  V1 W: i0 N2 a  TAgent 系统最难解的痛点其实是链路太长、工具太杂、模型太多，状态太乱，当你的后台日志瞬间被成千上万条上下文填满时，它就变成了一个吞噬注意力的垃圾堆。在这种极端高压的认知负荷下，所谓的「实时审计」和「人工控制」全是空谈——你连它在干嘛都看不清，还谈什么安全？
/ h  C8 {6 I+ {% V/ F+ ^
9 T. U( l) l( @* l
7 |3 r6 ~% `7 f: R- C
1 s* e% W. ~6 [* M而当一个产品有秩序的美观，用户更容易理解与信任它
这是这群来自高校的「00 后」开发者团队给出的工程答案：它把冰冷的进程变成了像素小镇里「正在上班」的数字员工。经典办公、赛博未来、机械工业、中式宫苑、欧式宫廷五种办公场景，你可以根据心情一键切换场景和BGM 。这种视听层面的用心让每个用户动容，科技的美学消除认知摩擦，降低使用门槛，让工具惠及每一个普通人。
! A, Q! L4 a7 U) Z4 {$ i
- v: \4 G' ?) B! C
& @) ~9 A# {; V/ X( b8 }4 g: r
( [1 N6 _6 _- m! p3 v9 F& U: M测评 XSafeClaw 的全程小编都在疯狂找彩蛋：脚下是致敬「哈利波特」的「活点地图」轨迹，还有「星露谷」既视感的像素小镇，这个复旦「00 后」团队开发的作品确实有趣，让人上头。

; I: p3 s0 X7 G% W6 D# R( t
: X9 r! W+ p2 I
3 v. C, C% Q0 t% l2 e而点进每一个 Agent，原本冰冷的执行链路，在这里第一次像一条可回望的「生命线」。从任务开始的那一刻起，它如何理解指令、如何调用工具、如何一步步接近结果，又是否曾在某个节点偏离轨道、触碰风险边界，这些都被串成了一条清晰可回望的生命线。原本藏在后台的执行过程，在这里第一次有了可被阅读的故事感，这是属于每一个技术爱好者的浪漫。
0 w/ d9 W% t- f+ s; g

) s9 L1 U* H2 }7 S4 J2 e
审美也是生产力，对技术的敬畏和热爱更是弥足珍贵。有温度的界面设计正在拉近人与技术的距离，让新技术更易被理解与接受，一人公司的形态也随之逐渐清晰。
) h2 c3 S# B0 L目前，XSafeClaw 已正式开源，支持无脑部署 OpenClaw（也可以自动检测已有龙虾）、灵活配置国内外主流大模型，欢迎广大开发者与企业用户试用体验：
项目网址：
https://xsafeclaw.ai
GitHub：
https://github.com/XSafeAI/XSafeClaw
. a. y+ p' C1 x7 U& c% O文中视频链接：https://mp.wEIxin.qq.com/s/1Dp5uTasxnm3ues_hNPlWQ