形式化验证(安全模型)
本页面跟踪openclaw的形式化安全模型(目前使用TLA+/TLC;根据需要增加更多)。
注意:一些旧链接可能引用之前的项目名称。
目标(北极星): 在明确假设下,提供机器检查的论证,证明openclaw强制执行其 预期的安全策略(授权、会话隔离、工具门控和 错误配置安全性)。
这是什么(目前): 一个可执行的、攻击者驱动的安全回归测试套件:
- 每个声明都有一个在有限状态空间上可运行的模型检查。
- 许多声明都有一个配对的负面模型,为现实的错误类别生成反例跟踪。
这还不是什么(目前): 证明"openclaw在所有方面都是安全的"或完整的TypeScript实现是正确的。
模型存放位置
模型维护在单独的仓库中:vignesh07/clawdbot-formal-models。
重要注意事项
- 这些是模型,不是完整的TypeScript实现。模型和代码之间可能存在差异。
- 结果受TLC探索的状态空间限制;"绿色"并不意味着超出建模假设和界限的安全性。
- 一些声明依赖于明确的环境假设(例如,正确的部署、正确的配置输入)。
重现结果
目前,结果通过本地克隆模型仓库并运行TLC来重现(见下文)。未来的迭代可能提供:
- 带有公共工件(反例跟踪、运行日志)的CI运行模型
- 用于小型、有限检查的托管"运行此模型"工作流
开始使用:
git clone https://github.com/vignesh07/clawdbot-formal-models
cd clawdbot-formal-models
# 需要Java 11+(TLC在JVM上运行)。
# 该仓库提供固定的 `tla2tools.jar`(TLA+工具)并提供 `bin/tlc` + Make目标。
make <target>Gateway暴露和开放gateway错误配置
声明: 在没有认证的情况下绑定到环回之外可能使远程攻击成为可能/增加暴露风险;令牌/密码阻止未经授权的攻击者(根据模型假设)。
- 绿色运行:
make gateway-exposure-v2make gateway-exposure-v2-protected
- 红色(预期):
make gateway-exposure-v2-negative
另请参阅:模型仓库中的 docs/gateway-exposure-matrix.md。
Nodes.run管道(最高风险能力)
声明: nodes.run 需要 (a) 节点命令白名单加上声明的命令和 (b) 配置时的实时批准;批准被令牌化以防止重放(在模型中)。
- 绿色运行:
make nodes-pipelinemake approvals-token
- 红色(预期):
make nodes-pipeline-negativemake approvals-token-negative
配对存储(DM门控)
声明: 配对请求遵守TTL和待处理请求上限。
- 绿色运行:
make pairingmake pairing-cap
- 红色(预期):
make pairing-negativemake pairing-cap-negative
入口门控(提及 + 控制命令绕过)
声明: 在需要提及的群组上下文中,未经授权的"控制命令"不能绕过提及门控。
- 绿色:
make ingress-gating
- 红色(预期):
make ingress-gating-negative
路由/会话键隔离
声明: 来自不同对等方的DM不会合并到同一会话中,除非明确链接/配置。
- 绿色:
make routing-isolation
- 红色(预期):
make routing-isolation-negative
v1++:额外的有限模型(并发、重试、跟踪正确性)
这些是后续模型,提高了对现实世界故障模式(非原子更新、重试和消息扇出)的保真度。
配对存储并发性/幂等性
声明: 配对存储应强制执行 MaxPending 和幂等性,即使在交错情况下(即“检查然后写入”必须是原子的/锁定的;刷新不应创建重复项)。
这意味着:
在并发请求下,不能超过通道的
MaxPending。对相同
(channel, sender)的重复请求/刷新不应创建重复的活动待处理行。绿色运行:
make pairing-race(原子/锁定上限检查)make pairing-idempotencymake pairing-refreshmake pairing-refresh-race
红色(预期):
make pairing-race-negative(非原子开始/提交上限竞争)make pairing-idempotency-negativemake pairing-refresh-negativemake pairing-refresh-race-negative
入口跟踪关联/幂等性
声明: 摄入应在扇出过程中保持跟踪关联,并在提供者重试下保持幂等性。
这意味着:
当一个外部事件变成多个内部消息时,每个部分都保持相同的跟踪/事件身份。
重试不会导致双重处理。
如果提供者事件ID缺失,去重回退到安全键(例如,跟踪ID)以避免丢弃不同的事件。
绿色:
make ingress-tracemake ingress-trace2make ingress-idempotencymake ingress-dedupe-fallback
红色(预期):
make ingress-trace-negativemake ingress-trace2-negativemake ingress-idempotency-negativemake ingress-dedupe-fallback-negative
路由dmScope优先级 + identityLinks
声明: 路由必须默认保持DM会话隔离,并且仅在明确配置时合并会话(通道优先级 + 身份链接)。
这意味着:
特定通道的dmScope覆盖必须优先于全局默认值。
identityLinks应仅在明确的链接组内合并,而不是跨无关的对等方。
绿色:
make routing-precedencemake routing-identitylinks
红色(预期):
make routing-precedence-negativemake routing-identitylinks-negative