会员服务
操作 · CVPR 2022 · 约束 · 路径 · 阻断 ·
5 月 7 日
Constraining Host-Level Abuse in Self-Hosted Computer-Use Agents via TEE-Backed Isolation
翻译:基于TEE隔离的自主托管计算机使用代理的主机级滥用约束
Di Lu,Bo Zhang,Xiyuan Li,Yongzhi Liao,Xuewen Dong,Yulong Shen,Zhiquan Liu,Jianfeng Ma
Di Lu,Bo Zhang,Xiyuan Li,Yongzhi Liao,Xuewen Dong,Yulong Shen,Zhiquan Liu,Jianfeng Ma

Self-hosted computer-use agents (SHCUAs), such as OpenClaw, combine natural-language interaction with direct access to host-side resources, including browsers, files, scripts, system commands, and external communication channels. While useful for automating real tasks, this capability also creates a host-level abuse surface: a legitimately deployed agent may be steered toward unsafe operations through malicious messages, indirect prompt injection, unsafe skills, or tampering along the host-side control path. We argue that such risks cannot be addressed by ad hoc blocking rules alone, because the security criticality of an operation depends jointly on its action type, target object, execution context, and potential effect. This paper presents an operation-centric model for risk-based confinement of SHCUA operations. The proposed design keeps ordinary functionality on the constrained REE path, while protecting security-critical classification, authorization, binding, evidence generation, and selected execution-control decisions inside a cloud-native TEE-backed trusted operation plane. We instantiate the architecture on OpenClaw using Intel TDX as the primary trusted backend, with remote terminal-side trusted components verifying TDX-audited commands before constrained local execution. The evaluation shows that the design can block unsafe or policy-disallowed operations before execution, preserve ordinary functionality for allowed workloads, and provide auditable evidence with deployment-dependent overhead.


翻译:自主托管计算机使用代理(SHCUA),如OpenClaw,将自然语言交互与对主机端资源的直接访问相结合,包括浏览器、文件、脚本、系统命令和外部通信渠道。虽然此类代理在自动化真实任务方面具有实用性,但同时也引入了主机级滥用风险:通过恶意消息、间接提示注入、不安全的技能或沿着主机端控制路径的篡改,合法部署的代理可能被引导执行不安全操作。我们认为,此类风险无法仅通过临时阻断规则来解决,因为操作的安全关键性取决于其动作类型、目标对象、执行上下文和潜在影响的共同作用。本文提出了一种以操作为中心的风险约束模型,用于限制SHCUA操作。所提出的设计保持普通功能运行在受限的REE路径上,同时将安全关键的分类、授权、绑定、证据生成以及选定的执行控制决策保护在云原生TEE支持的可信操作平面内。我们以Intel TDX为主要可信后端的OpenClaw上实现了该架构,远程终端侧的可信组件在受限本地执行前对TDX审计的指令进行验证。评估表明,该设计能在执行前阻断不安全或不符合策略的操作,维持允许工作负载的常规功能,并提供可审计的证据,且部署相关开销可控。
0
下载
关闭预览

相关内容

大规模语言模型在自主化网络运维与智能运维中的应用:架构、评估与安全性
大规模语言模型在自主化网络运维与智能运维中的应用:架构、评估与安全性
专知会员服务
13+阅读 · 5月18日
《CommandSwarm:面向机器人集群的安全感知自然语言到行为树生成》
《CommandSwarm:面向机器人集群的安全感知自然语言到行为树生成》
专知会员服务
15+阅读 · 5月16日
MMClaw 接入飞书实战:权限、长连接等设置(也适用于OpenClaw)
MMClaw 接入飞书实战:权限、长连接等设置(也适用于OpenClaw)
专知会员服务
15+阅读 · 2月14日
《军事人工智能网络代理对关键基础设施构成全球性威胁》
《军事人工智能网络代理对关键基础设施构成全球性威胁》
专知会员服务
22+阅读 · 2025年12月11日
【AAAI2026】TOFA:面向视觉-语言模型的免训练一次性联邦自适应方法
【AAAI2026】TOFA:面向视觉-语言模型的免训练一次性联邦自适应方法
专知会员服务
13+阅读 · 2025年11月23日
一种Agent自主性风险评估框架 | 最新文献
一种Agent自主性风险评估框架 | 最新文献
专知会员服务
24+阅读 · 2025年10月24日
工具调用效果比肩GPT-4: 本地可微调的多模型协作工具学习agent框架
工具调用效果比肩GPT-4: 本地可微调的多模型协作工具学习agent框架
专知会员服务
38+阅读 · 2024年2月6日
AI Agent下一个热点?复旦最新86页《大型语言模型智能体的崛起与潜力》综述,详述LLM Agent: 大脑、感知和行动
AI Agent下一个热点?复旦最新86页《大型语言模型智能体的崛起与潜力》综述,详述LLM Agent: 大脑、感知和行动
专知会员服务
170+阅读 · 2023年9月15日
《自主武器系统(AWS):使用因果分层分析来解析AWS》论文
《自主武器系统(AWS):使用因果分层分析来解析AWS》论文
专知会员服务
37+阅读 · 2023年2月15日
【WWW2020-中科大-滴滴】层次自适应上下文赌博机的资源约束推荐
【WWW2020-中科大-滴滴】层次自适应上下文赌博机的资源约束推荐
专知会员服务
21+阅读 · 2020年4月3日
TheFatRat 一款简易后门工具
TheFatRat 一款简易后门工具
黑白之道
36+阅读 · 2019年10月23日
通过Termux打造免root安卓渗透工具
通过Termux打造免root安卓渗透工具
黑客技术与网络安全
16+阅读 · 2019年8月16日
AnDOSid - 适用于黑客的Android应用程序
AnDOSid - 适用于黑客的Android应用程序
黑白之道
11+阅读 · 2019年3月14日
ProxyDroid - 适用于黑客的Android应用程序
ProxyDroid - 适用于黑客的Android应用程序
黑白之道
55+阅读 · 2019年3月9日
被动DNS,一个被忽视的安全利器
被动DNS,一个被忽视的安全利器
运维帮
11+阅读 · 2019年3月8日
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
黑白之道
25+阅读 · 2019年3月8日
Spooftooph - 用于欺骗或克隆蓝牙设备的自动工具
Spooftooph - 用于欺骗或克隆蓝牙设备的自动工具
黑白之道
17+阅读 · 2019年2月27日
去哪儿网开源DNS管理系统OpenDnsdb
去哪儿网开源DNS管理系统OpenDnsdb
运维帮
21+阅读 · 2019年1月22日
收藏】等级保护测评 主机安全 三级 详解测评要求项、测评方法及测评步骤,测评判分标准:0分标准和满分标准
收藏】等级保护测评 主机安全 三级 详解测评要求项、测评方法及测评步骤,测评判分标准:0分标准和满分标准
黑白之道
34+阅读 · 2018年8月23日
NetworkMiner - 网络取证分析工具
NetworkMiner - 网络取证分析工具
黑白之道
16+阅读 · 2018年6月29日
面向网络虚拟化的网络层可信身份验证机制研究
国家自然科学基金
0+阅读 · 2017年12月31日
面向用户体验的无线异构软件定义网络资源管理研究
国家自然科学基金
2+阅读 · 2015年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
面向车载自组网Anycast的机会性网络资源多尺度优化配备机理研究
国家自然科学基金
0+阅读 · 2015年12月31日
网络空间安全关键技术研究
国家自然科学基金
20+阅读 · 2015年12月31日
软件定义开放光接入网理论模型和控制机理研究
国家自然科学基金
0+阅读 · 2015年12月31日
属性驱动的自适应多agent系统设计关键技术研究
国家自然科学基金
2+阅读 · 2015年12月31日
网络环境下服务系统的自主管理研究
国家自然科学基金
0+阅读 · 2014年12月31日
Android移动终端多语种基础软件组合的安全技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
面向CCMANET网络可证明安全命名与名字路由机制关键技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
Same-Origin Policy for Agentic Browsers
Arxiv
0+阅读 · 6月15日
The Proxy Knows Too Much: Sealing LLM API Routers with Attested TEEs
Arxiv
0+阅读 · 6月15日
"Do Not Mention This to the User": Detecting and Understanding Malicious Agent Skills in the Wild
Arxiv
0+阅读 · 6月10日
Human oversight of agentic systems in practice: Examining the oversight work, challenges, and heuristics of developers using software agents
Arxiv
0+阅读 · 6月3日
SeClaw: Spec-Driven Security Task Synthesis for Evaluating Autonomous Agents
Arxiv
0+阅读 · 6月1日
"Do Not Mention This to the User": Detecting and Understanding Malicious Agent Skills
Arxiv
0+阅读 · 6月1日
Multi-Agent Computer Use
Arxiv
0+阅读 · 6月1日
Stateful Online Monitoring Catches Distributed Agent Attacks
Arxiv
0+阅读 · 5月29日
How do Agents Refactor: An Empirical Study
Arxiv
0+阅读 · 5月24日
Prompts Don't Protect: Architectural Enforcement via MCP Proxy for LLM Tool Access Control
Arxiv
0+阅读 · 5月18日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
操作
CVPR 2022
约束
路径
阻断
最新内容
ICML 2026 | CFPO:用反事实策略优化提升多模态推理
ICML 2026 | CFPO:用反事实策略优化提升多模态推理
专知会员服务
2+阅读 · 6月23日
综述 | 世界动作模型:少做梦,多行动
综述 | 世界动作模型:少做梦,多行动
专知会员服务
4+阅读 · 6月23日
美以伊冲突:无人机与人工智能的运用
美以伊冲突:无人机与人工智能的运用
专知会员服务
7+阅读 · 6月23日
《战时图神经网络:整合以色列-伊朗冲突中的网络安全与无人机智能》最新50页文献
《战时图神经网络:整合以色列-伊朗冲突中的网络安全与无人机智能》最新50页文献
专知会员服务
3+阅读 · 6月23日
《特种部队在透明战场中的生存力》最新报告
《特种部队在透明战场中的生存力》最新报告
专知会员服务
4+阅读 · 6月23日
《自主无人机蜂群协同与控制系统:人工智能赋能的战场协同与自主任务编排平台》
《自主无人机蜂群协同与控制系统:人工智能赋能的战场协同与自主任务编排平台》
专知会员服务
6+阅读 · 6月23日
《人工智能生成的零日漏洞:对未来作战的影响》
《人工智能生成的零日漏洞:对未来作战的影响》
专知会员服务
5+阅读 · 6月23日
《理解伙伴国在防务能力选择中的偏好:探索美国解决方案的替代选择》美智库200页报告
《理解伙伴国在防务能力选择中的偏好:探索美国解决方案的替代选择》美智库200页报告
专知会员服务
3+阅读 · 6月23日
ICML 2026 | 边界嵌入塑形:用自适应对比学习破解图结构纠缠
ICML 2026 | 边界嵌入塑形:用自适应对比学习破解图结构纠缠
专知会员服务
6+阅读 · 6月22日
综述 | 3D场景图:开放挑战与未来方向
综述 | 3D场景图:开放挑战与未来方向
专知会员服务
8+阅读 · 6月22日
《国防工业6.0:全自主作战系统、量子-人工智能融合与新一代战略威慑》
《国防工业6.0:全自主作战系统、量子-人工智能融合与新一代战略威慑》
专知会员服务
8+阅读 · 6月22日
21世纪的无人机战争
21世纪的无人机战争
专知会员服务
4+阅读 · 6月22日
《伊朗与以色列-美国热战及其对数字技术的影响》
《伊朗与以色列-美国热战及其对数字技术的影响》
专知会员服务
6+阅读 · 6月22日
《量子技术的军事任务技术适配与利用》
《量子技术的军事任务技术适配与利用》
专知会员服务
5+阅读 · 6月22日
《美国陆军军官学校(西点军校)本科生科研中生成式人工智能的使用》
《美国陆军军官学校(西点军校)本科生科研中生成式人工智能的使用》
专知会员服务
9+阅读 · 6月22日
相关VIP内容
大规模语言模型在自主化网络运维与智能运维中的应用:架构、评估与安全性
大规模语言模型在自主化网络运维与智能运维中的应用:架构、评估与安全性
专知会员服务
13+阅读 · 5月18日
《CommandSwarm:面向机器人集群的安全感知自然语言到行为树生成》
《CommandSwarm:面向机器人集群的安全感知自然语言到行为树生成》
专知会员服务
15+阅读 · 5月16日
MMClaw 接入飞书实战:权限、长连接等设置(也适用于OpenClaw)
MMClaw 接入飞书实战:权限、长连接等设置(也适用于OpenClaw)
专知会员服务
15+阅读 · 2月14日
《军事人工智能网络代理对关键基础设施构成全球性威胁》
《军事人工智能网络代理对关键基础设施构成全球性威胁》
专知会员服务
22+阅读 · 2025年12月11日
【AAAI2026】TOFA:面向视觉-语言模型的免训练一次性联邦自适应方法
【AAAI2026】TOFA:面向视觉-语言模型的免训练一次性联邦自适应方法
专知会员服务
13+阅读 · 2025年11月23日
一种Agent自主性风险评估框架 | 最新文献
一种Agent自主性风险评估框架 | 最新文献
专知会员服务
24+阅读 · 2025年10月24日
工具调用效果比肩GPT-4: 本地可微调的多模型协作工具学习agent框架
工具调用效果比肩GPT-4: 本地可微调的多模型协作工具学习agent框架
专知会员服务
38+阅读 · 2024年2月6日
AI Agent下一个热点?复旦最新86页《大型语言模型智能体的崛起与潜力》综述,详述LLM Agent: 大脑、感知和行动
AI Agent下一个热点?复旦最新86页《大型语言模型智能体的崛起与潜力》综述,详述LLM Agent: 大脑、感知和行动
专知会员服务
170+阅读 · 2023年9月15日
《自主武器系统(AWS):使用因果分层分析来解析AWS》论文
《自主武器系统(AWS):使用因果分层分析来解析AWS》论文
专知会员服务
37+阅读 · 2023年2月15日
【WWW2020-中科大-滴滴】层次自适应上下文赌博机的资源约束推荐
【WWW2020-中科大-滴滴】层次自适应上下文赌博机的资源约束推荐
专知会员服务
21+阅读 · 2020年4月3日
热门VIP内容
相关资讯
TheFatRat 一款简易后门工具
TheFatRat 一款简易后门工具
黑白之道
36+阅读 · 2019年10月23日
通过Termux打造免root安卓渗透工具
通过Termux打造免root安卓渗透工具
黑客技术与网络安全
16+阅读 · 2019年8月16日
AnDOSid - 适用于黑客的Android应用程序
AnDOSid - 适用于黑客的Android应用程序
黑白之道
11+阅读 · 2019年3月14日
ProxyDroid - 适用于黑客的Android应用程序
ProxyDroid - 适用于黑客的Android应用程序
黑白之道
55+阅读 · 2019年3月9日
被动DNS,一个被忽视的安全利器
被动DNS,一个被忽视的安全利器
运维帮
11+阅读 · 2019年3月8日
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
黑白之道
25+阅读 · 2019年3月8日
Spooftooph - 用于欺骗或克隆蓝牙设备的自动工具
Spooftooph - 用于欺骗或克隆蓝牙设备的自动工具
黑白之道
17+阅读 · 2019年2月27日
去哪儿网开源DNS管理系统OpenDnsdb
去哪儿网开源DNS管理系统OpenDnsdb
运维帮
21+阅读 · 2019年1月22日
收藏】等级保护测评 主机安全 三级 详解测评要求项、测评方法及测评步骤,测评判分标准:0分标准和满分标准
收藏】等级保护测评 主机安全 三级 详解测评要求项、测评方法及测评步骤,测评判分标准:0分标准和满分标准
黑白之道
34+阅读 · 2018年8月23日
NetworkMiner - 网络取证分析工具
NetworkMiner - 网络取证分析工具
黑白之道
16+阅读 · 2018年6月29日
相关论文
Same-Origin Policy for Agentic Browsers
Arxiv
0+阅读 · 6月15日
The Proxy Knows Too Much: Sealing LLM API Routers with Attested TEEs
Arxiv
0+阅读 · 6月15日
"Do Not Mention This to the User": Detecting and Understanding Malicious Agent Skills in the Wild
Arxiv
0+阅读 · 6月10日
Human oversight of agentic systems in practice: Examining the oversight work, challenges, and heuristics of developers using software agents
Arxiv
0+阅读 · 6月3日
SeClaw: Spec-Driven Security Task Synthesis for Evaluating Autonomous Agents
Arxiv
0+阅读 · 6月1日
"Do Not Mention This to the User": Detecting and Understanding Malicious Agent Skills
Arxiv
0+阅读 · 6月1日
Multi-Agent Computer Use
Arxiv
0+阅读 · 6月1日
Stateful Online Monitoring Catches Distributed Agent Attacks
Arxiv
0+阅读 · 5月29日
How do Agents Refactor: An Empirical Study
Arxiv
0+阅读 · 5月24日
Prompts Don't Protect: Architectural Enforcement via MCP Proxy for LLM Tool Access Control
Arxiv
0+阅读 · 5月18日
相关基金
面向网络虚拟化的网络层可信身份验证机制研究
国家自然科学基金
0+阅读 · 2017年12月31日
面向用户体验的无线异构软件定义网络资源管理研究
国家自然科学基金
2+阅读 · 2015年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
面向车载自组网Anycast的机会性网络资源多尺度优化配备机理研究
国家自然科学基金
0+阅读 · 2015年12月31日
网络空间安全关键技术研究
国家自然科学基金
20+阅读 · 2015年12月31日
软件定义开放光接入网理论模型和控制机理研究
国家自然科学基金
0+阅读 · 2015年12月31日
属性驱动的自适应多agent系统设计关键技术研究
国家自然科学基金
2+阅读 · 2015年12月31日
网络环境下服务系统的自主管理研究
国家自然科学基金
0+阅读 · 2014年12月31日
Android移动终端多语种基础软件组合的安全技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
面向CCMANET网络可证明安全命名与名字路由机制关键技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top