项目链接：

• GitHub：d06K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6w2e0W2y4G2k6Y4c8Q4x3V1k6o6L8r3q4%4f1$3q4F1k6r3u0G2P5l9`.`.
• 官网：701K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6C8L8Y4y4G2k6Y4c8Q4x3X3g2G2M7X3N6Q4x3V1k6o6L8r3q4%4f1$3q4F1k6r3u0G2P5q4)9J5c8R3`.`.

背景

本地 AI Agent（以 OpenClaw 为例）在执行任务时通常会读写本机文件系统。实际使用中更常见的风险不是“越权读”，而是误删/误改/误覆盖（提示词歧义、路径处理 bug、第三方技能不可靠等）。

因此做了 ClawSandbox：用 Windows 文件系统 minifilter 在内核层拦截写路径，把“写入范围”收敛到安全目录，作为一层粗粒度护栏。

实现概览

• 形态：驱动（file activity minifilter）+ 启动器（安装/启动/卸载服务）
• 拦截点：
  • IRP_MJ_CREATE（识别写访问、覆盖、delete-on-close 等）
  • IRP_MJ_WRITE
  • IRP_MJ_SET_INFORMATION（rename/link/disposition/end-of-file/allocation 等）
• 进程跟踪：
  • PsSetCreateProcessNotifyRoutineEx 追踪目标进程及其子进程
  • 默认识别 OpenClaw/LobsterAI/EasyClaw（规则集中在 Rule.List.c，可扩展）
• 拒绝策略：
  • 仅在“被跟踪进程”尝试对非允许路径写入时拒绝
  • 拒绝状态：STATUS_LPAC_ACCESS_DENIED（也可改为 STATUS_ACCESS_DENIED）

默认策略

• 允许读取任意文件
• 只允许写入：
  • 临时目录
  • 目标工具相关目录（例如路径包含 openclaw）

TODO, PR welcome!

• 更精细的读写控制策略
• 可自由配置的读写控制策略
• 应用层UI配合

使用说明与演示

运行 ClawSandbox.exe（程序启动时自动安装驱动服务） -> 点击启动（启动驱动服务/加载 minifilter） -> 再启动 OpenClaw；退出程序时会先停止沙箱，再清理其自动安装的服务。

注：Release 包因为没有受信任的 EV 签名，少数安防可能误报，严肃使用建议自行编译发布。

演示：OpenClaw已无法删除工作区外的D:\1.txt了