什么是 enclawed？它和 OpenClaw 是什么关系？

enclawed 是 OpenClaw 经过安全加固的分支——OpenClaw 是上游的个人 AI／智能体 AI 网关。它原封不动地附带了整个上游 OpenClaw 扩展目录（通道、模型提供方、工具插件），但默认就把每一个插件都经过一道加固的准入门、一条哈希链审计日志、一份双层出站白名单、一个 DLP 扫描器和一面结构化提示词防护盾加载。采用 MIT 许可的 enclawed-oss 是开源基座；enclawed-enclaved 是叠加其上的专有商业层，其密码学绑定到主机的 FIPS 140-3 验证模块。

enclawed 是 OpenClaw 的即插即用替代品吗？

是的。CLI 命令、配置键、插件布局以及上游扩展目录全部保留。从 OpenClaw 迁移到 enclawed-oss 是替换，而不是重写。你现有的智能体、通道、模型提供方和工具都会一同带过来，外面再裹上能力声明、签名清单、哈希链审计、双层出站白名单、DLP 扫描和结构化提示词防护盾。

为什么我应该从 OpenClaw 切换到 enclawed？

我们用三层嵌套的实证证据来支撑这一点：一次 1600 样本的模板基线运行（每种失效模式 F1-F4、横跨两个真实云通道，各 100 个正常 + 100 个对抗样本）；一次 80,000 样本的压力扩展，每个单元 n=10,000；以及一次十款 LLM 的跨模型泛化运行——它用十款不同生产级 LLM（Gemini 2.5 Flash、Groq GPT-OSS-120B、Groq Llama 3.3 70B、Groq Llama 4 Scout 17B、OpenRouter Llama 3.1 70B，以及 Ollama Gemma2 9B / Llama 3.1 8B / Llama 3.2 3B / Mistral 7B / Qwen 2.5 7B）所撰写的对抗内容重跑同一任务。在全部三层里，上游 OpenClaw 在每张混淆矩阵的每个 F1-F4 单元上召回率都是 0.000；enclawed-oss 和 enclawed-enclaved 在分布内基线和压力测试上 precision = recall = F1 = accuracy = 1.000，并在跨 LLM 运行中对每一款配合的 LLM 都达到 recall = 1.000。框架还会额外发出完整的 NIST OSCAL 1.2.2 FedRAMP 提交模型集——组件定义、评估结果、系统安全计划初稿和整改行动计划——均经过 schema 校验、Ed25519 签名，可直接导入部署方的 GRC 工具，无需手动重新录入密钥。每一个 OpenClaw 插件通过 enclawed-oss 加载后都实质更安全，因为它继承了默认拒绝策略、防篡改审计、白名单出站、结构化提示词注入清洗，以及对任何需要联网的扩展所做的运行时双条件准入。这些特性在上游 OpenClaw 上，没有运营者主动开启都不成立。MIT 许可、不变的接口面以及零成本可得，意味着一旦存在一个可比的加固分支，留在上游 OpenClaw 上就没有任何商业理由了。

对于接入现实世界设备（机器人、3D 打印机、车辆控制器）的 OpenClaw 智能体，enclawed 安全吗？

一旦智能体接上执行器，OpenClaw 那套宽松默认值就再也站不住脚。提示词注入、幻觉式工具调用、第三方模块被攻陷、无边界出站——当循环触及一台物理设备的那一刻，这些都不再是学术问题。enclawed-oss 在智能体触及执行器之前就堵上了这道缺口，是任何由 OpenClaw 驱动的设备部署的推荐之选。

enclawed-enclaved 需要自己的 FIPS 140-3 证书吗？

不需要。enclawed 自身不实现任何密码学原语——每一次密码学运算都使用 FIPS 批准的算法（AES-256-GCM、SHA-256、Ed25519、scrypt），并由主机的 FIPS 140-3 验证密码学模块（例如 OpenSSL FIPS provider）执行。在验证过的主机上以批准模式部署时，enclawed 的密码学继承该模块的验证；不存在需要提交或认证的 enclawed 单独模块，也无此必要。这正是应用层软件在 FedRAMP、CMMC 和 HIPAA 下被广泛接受的标准姿态。

enclawed-oss 和 enclawed-enclaved 是什么关系？

enclawed-oss 是带安全特性、采用 MIT 许可的 OpenClaw 硬分支。enclawed-enclaved 是叠加其上的专有层，补上了绑定到主机 FIPS 140-3 验证模块的密码学、多见证方鉴定，以及完整的 OSCAL 提交文档。

enclawed 服务于哪些行业？

联邦民用与国防、金融服务、医疗健康、AI／LLM 平台运营方、关键基础设施，以及正在向受监管垂直领域扩张的云／DevSecOps SaaS。每个垂直行业都有一份专门的白皮书可供直接下载。

我该如何评估这款产品？

请发邮件至 alfredo.metere@enclawed.com。本站的白皮书无需填表即可直接下载。公开路线图和完整的 NIST 800-53 控制项映射，可在一次简短的初步沟通后应需求提供。

enclawed —— 让 AI 智能体确定性安全

安全究竟落在哪里

同一套智能体循环。三种运行时。只有一种从头到尾被守住。

每个智能体都跑同样的四步——读取 → 思考 → 执行 → 上报。真正不同的，是这些步骤之间的关卡。原版 OpenClaw 一道都没有。NeMo Guardrails 加了两道文本过滤器。enclawed 守住每一次转换，并把整个循环锚定在一条防篡改审计日志和一个启动时鉴定器之上。把鼠标悬停到任意方块上看看。

OpenClaw

5 / 5 种失效模式敞开

NeMo Guardrails

仅有内容护栏

enclawed

0 / 5 种失效模式敞开

整个赛道，一张表说清

不是又一道护栏——而是唯一的完整解决方案

护栏过滤文字。提示词注入防火墙扫描输入。这些都有用——但它们没有一个会去把关智能体调用的工具，没有一个能用无法被编辑的记录证明它做了什么，也没有一个会交付审计师抽样的合规证据。截至今天，enclawed-enclaved 是唯一一款把这所有事都做齐的产品。

它能否……	原版运行时 OpenClaw、LangChain	内容护栏 NeMo、Guardrails AI	提示词防火墙 Lakera、Rebuff	`enclawed` -enclaved
跨文本、图像和音频拦截提示词注入	✗	~	~	✓
把关智能体可以调用哪些工具和插件	✗	✗	✗	✓
为网络出站设白名单并阻止外泄（DLP）	✗	✗	~	✓
维护一条防篡改的哈希链审计日志	✗	✗	✗	✓
在启动时验证自身完整性（零信任鉴定器）	✗	✗	✗	✓
执行多级访问控制（Bell-LaPadula）	✗	✗	✗	✓
运行在FIPS 批准的密码学边界之上^*	✗	✗	✗	✓
交付机器可读的审计证据（NIST OSCAL、800-53）	✗	✗	✗	✓
证明F1–F4 检测 = 1.000，且你能自行复现	✗	✗	✗	✓

✓ 完整 · ~ 部分／仅文本通道 · ✗ 无。反映截至 2026 年 5 月各类别有据可查的默认范围；各家产品互有差异且持续演进——欢迎来信指正：security@enclawed.com。
^*FIPS 批准的算法（AES-256-GCM、SHA-256、Ed25519、scrypt）由主机的 FIPS 140-3 验证模块在批准模式下执行——验证由该模块继承；无需 enclawed 单独的证书。

看它跑起来——13 秒演示 →

拿证据说话，而非承诺

我们实测过 — 结果如下

同样的智能体，同样的工具。enclawed 在每一个动作发生之前就检查它，并把它记录下来，让它无法被伪造或抹除。我们拿它去对那款热门运行时做了活体实测，分别通过各自真实的命令行运行。

它能否拦下……	没有记录	伪造的记录	无声的失败	错误的目标
OpenClaw （热门运行时）	✗	✗	✗	✗
`enclawed`	✓	✓	✓	✓

实测检测率：OpenClaw 抓到 0.000；enclawed 1.000——基于 1,600 样本的基线，在 80,000 样本和跨 10 款生产级 LLM 上保持不变。

这四种，由同一项创新一并堵上——一个把每个动作都与记录绑定的双条件正确性判据。enclawed 堵上的不止这四种，还有它自己的更多创新——一个隐蔽信道出站监视器、经鉴证的工具服务器准入，以及对技能的形式化验证。完整成果都在研究里。

别信我们说的——自己跑一遍。克隆开源核心，自己运行这个测试：

node --test enclawed/test/paper-conformance.test.mjs

它登上 moltbook 时，约 180 个 AI 智能体花了 48 小时想在它身上戳出漏洞。它们没能得手。查看研究 →

覆盖范围 → 合规

今天，你就能拿来认证的东西

enclawed 不是单一的把戏。在整套研究里，它结构性地堵上了那些失效模式，并把隐蔽外泄驱至为零——而真正让你得以落地的那部分是：它既交付控制项，又交付评估方抽样所需的机器可读证据。残余风险都登记在一份签名的 POA&M 里，正如每一套框架所期待的那样。

已映射到标准

今天你就能拿来认证的框架

SOC 2、ISO 27001 —— 评估方抽样所需的控制项与证据，一并提供。
NIST 800-53 Rev 5 / 800-171、FedRAMP Moderate、CMMC L2 —— 完整的 NIST OSCAL 套件（CD + AR + SSP + POA&M），且已做控制项映射。
HIPAA（45 CFR §164） —— 默认拒绝的访问控制、出站控制，以及一条防篡改审计链。
FIPS 140-3 —— 密码学运算跑在主机的验证模块上；以批准模式部署，该验证即被继承（无需 enclawed 单独的证书）。

enclawed 交付技术控制项和证据；认证本身属于你的组织。每一项残余风险都登记在签名的 POA&M 里——一旦有新的浮现，我们就度量它、堵上它，并公开发布。

驱至为零 · 出站层

隐蔽外泄，已被度量清零

文本载体 —— 零宽字符与 Unicode 花招、同形字、空白填充、base64 数据块：残余容量被驱至零。
图像载体 —— LSB 像素隐写：零；每张图像的平均亮度被限制在一个实测上限内。
音频载体 —— 超声波与亚感知频段：零；可听频段的声化被设限，仅对启动时已签名的媒体豁免。

多模态隐蔽信道出站参考监视器（arXiv:2605.20734）。查看研究 →

它对你为何重要

为交付那些原本交付不了的东西而生

为受监管或安全关键的部署加固一个智能体，绝不是改几行配置就能搞定的事。从零做起，远不止一个季度——而对最难啃的那些目标，根本就做不到。enclawed 正是让这些部署成为可能的基座：走到这一步，意味着把 AI 网络安全的技术前沿向前推进，背后有6 篇以上研究论文支撑着这套结构。没有魔法般的时间表——只有一套系统，把「永远通不过审计」变成你可以部署、可以辩护的东西，证据就装在盒子里。

致你的安全与合规团队

你的审计赖以承载的认证层

SOC 2、ISO 27001、FedRAMP、HIPAA BAA、CMMC——它们认证的是你的组织，不是一个库。enclawed-enclaved 既交付技术控制项，又交付评估方抽样所需的机器可读证据，从此控制项这条工作线不再是拖住（甚至拖垮）整个项目的那一环。在密码学方面，enclawed 跑在主机的 FIPS 140-3 验证模块上——没有 enclawed 专属的加密模块需要认证。

FIPS 140-3FIPS 验证模块NIST 800-53 Rev 5NIST 800-171NIST OSCAL 1.2.2FedRAMP ModerateCMMC Level 2SOC 2 Type 1 / 2ISO 27001HIPAA / 45 CFR §164FFIECGLBANIS2EU CRAIEC 62443NIST 800-82Bell-LaPadula多见证方鉴定

专有 · enclawed-enclaved

密码学运算交给主机的验证模块执行（FIPS 140-3） —— 每一次密码学运算都使用 FIPS 批准的算法（AES-256-GCM、SHA-256、Ed25519、scrypt），由主机经 CMVP 验证的 provider 在批准模式下执行。验证由该模块继承；不存在需要认证的 enclawed 单独模块。
启动时零信任鉴定器 —— 每一个扩展只有在其签名清单与信任根匹配时才被准入；启动后的篡改会被阻止并审计。
哈希链防篡改审计日志 + 多见证方鉴定 —— 在下一次验证时不打断哈希链的前提下，记录无法被改写。
Bell-LaPadula 访问控制 + 双层出站守卫 + DLP 扫描器 —— 默认拒绝、按路由白名单、按载荷脱敏。
多模态隐蔽信道出站参考监视器 —— 文本、图像和音频通道上的残余隐蔽容量被驱至为零（论文：arXiv:2605.20734）。
NIST OSCAL 1.2.2 提交套件 —— 组件定义、评估结果、SSP 初稿和 POA&M —— 均经 schema 校验、Ed25519 签名，每个周期都有哈希链审计，基于 NIST 800-53 Rev 5 的控制项映射。可导入你的 GRC 技术栈；与 Vanta / Drata / Secureframe 配合使用。
持续加固，残余风险可查 —— F1–F4 已被结构性堵上；任何新浮现的失效模式都会被度量、修复并公开发布，每一项残余风险都登记在签名的 POA&M 里。我们不声称零缺口——我们声称的是已堵上或已追踪。

研究与论文 GitHub 上的开源核心开源教程媒体报道

分行业简报：联邦 + 国防 · 金融 · 医疗健康 · AI 平台 · 关键基础设施 · 云 + DevSecOps

守住你的智能体。

告诉我们你的智能体接触什么、你需要通过什么。每一次部署都是一项定制化的交付——我们会和你一起把范围界定清楚。

alfredo.metere@enclawed.com

一个工作日内回复。

让你的 AI 智能体真正达到合规。终于做到了。