Claw Patrol: фаервол перед агентами в продакшене

Deno открыла Claw Patrol — alpha-шлюз для AI-агентов с доступом к реальным системам. Главная идея: контроль вне агента.

2026-05-31 GIGATAP Team #security
#agent security#open source security#security operations

Что Deno открыла в Claw Patrol#

Deno выложила в open source Claw Patrol — security gateway в стадии alpha для AI-агентов, которым нужен доступ к реальным продакшен-системам. Важна не вывеска, а граница доверия: Deno рассматривает агента как процесс, который нужно контролировать снаружи, а не как сущность, способную надежно ограничивать саму себя.

Deno пишет, что использует агентов для операционной работы в сервисах вроде Deno Deploy и JSR: разбор PagerDuty-алертов, проверка дашбордов, запросы к логам, запуск kubectl, откаты неудачных деплоев и похожие задачи. Отсюда появляется жесткий компромисс для security operations. Сильно ограниченный агент менее полезен. Агент с широкими правами может из-за одного плохого tool call, галлюцинации или prompt injection дотянуться до AWS, GCP, Postgres, Kubernetes, ClickHouse, GitHub, Slack или Grafana так, как не должен.

Claw Patrol — ответ Deno на этот разрыв. Трафик агента идет через WireGuard или Tailscale-туннель к шлюзу. Шлюз завершает TLS, разбирает нижележащий протокол, хранит настоящие учетные данные, подставляет их при необходимости и проверяет запросы по правилам на HCL. Проект выпущен под лицензией MIT, но Deno прямо говорит: сейчас это alpha software.

Что меняет Claw Patrol#

Главное изменение — место, где применяются ограничения. Claw Patrol не просит агента вести себя правильно. Он ставит шлюз между агентом и системами, к которым агент хочет обратиться.

Это важно, потому что в процессе агента часто одновременно находятся и инструменты, и учетные данные для их использования. Если агент может напрямую запускать kubectl, делать запросы к Postgres или вызывать внутренние API, то опасное действие уже находится в том же execution space, что и поведение, управляемое моделью. Позиция Deno жесткая: агенту нельзя доверять самоконтроль.

В исходной публикации есть конкретный продакшен-пример. У Deno есть production Aurora database внутри VPC, доступная только через EKS apiserver. Агенту 24/7 полезно иметь read access к этой базе. Но Deno хочет гарантировать, что агент не сможет выполнить разрушительный SQL, например удалить таблицу. Это не обычная задача для web proxy. Путь не похож на стандартный outbound HTTP. Цель недоступна с хоста агента. Правило должно понимать SQL, а не только URL.

Claw Patrol сделан именно для таких случаев. По словам Deno, правила могут сопоставлять разобранные детали протоколов, например:

  • HTTP method, path и body
  • SQL verb, tables и functions
  • Kubernetes verb, resource и namespace

Шлюз также может туннелировать трафик дальше в сети, до которых хост агента напрямую не дотягивается: например через kubectl port-forward в EKS, Cloud SQL proxy или tailnet.

В этом практическое отличие. Многие существующие меры контроля находятся на уровне модели, HTTP или локальной sandbox-среды. Deno утверждает, что продакшен-агентам нужна точка контроля на сетевом пути: она должна говорить на нескольких протоколах и принимать решения по правилам, которые понимают протокол.

Почему это важно для security operations#

Риск не в том, что агенты сами по себе злонамеренны. Риск в том, что они сжимают намерение, инструменты и учетные данные в одну быстро движущуюся операционную поверхность.

В обычных security operations доступ к продакшену и так опасен. Инженеры используют least privilege, approvals, audit logs, bastions, break-glass paths и separation of duties, потому что одна учетная запись может иметь большой blast radius. Агенты обостряют старую проблему. Они действуют быстро, могут получить враждебный ввод, а их поведение может меняться под влиянием prompts или tool outputs, которые писал не оператор.

Самое сильное архитектурное решение Claw Patrol — где лежат credentials. Deno говорит, что учетные данные хранятся на шлюзе, а не внутри агента. Агент отправляет placeholder, а шлюз подменяет его настоящим token на проводе. Если это работает так, как описано, скомпрометированный процесс агента не сможет утечь credentials, которых у него никогда не было.

Это не убирает все privacy risk и operational risk. Сам шлюз становится ценной control plane. Его правила должны быть корректными. Логи и approval flows требуют аккуратного обращения. Protocol parsers не должны превратиться в новую слабую точку. Но вынос credentials и policy enforcement из процесса агента дает более чистую trust model, чем надежда на то, что агент откажется выполнять опасные инструкции.

Еще одна заметная функция — verdict chaining. Deno описывает правила, которые могут allow, deny или требовать цепочку approvers. В эту цепочку может входить LLM judge, сверяющий действие с письменной policy, human approval в Slack или оба шага последовательно. Deno пишет, что использует такой паттерн для customer-support replies, которые готовит агент: LLM проверяет body на markdown и tone, затем человек approves или edits draft.

Пример скромный, но полезный. Он показывает, что Claw Patrol нужен не только для блокировки катастрофических инфраструктурных команд. Он может стоять и в workflows, где риск — утечка информации, неудачная формулировка или ошибка в ответе клиенту.

Почему HTTP-only контроля недостаточно#

Источник аккуратно размещает Claw Patrol среди существующих подходов к agent security и не делает вид, что поле пустое. Deno упоминает несколько категорий: LLM gateways, которые смотрят model calls, HTTP egress controls, local sandboxes, credential-injecting forward proxies и Deno Sandbox.

Слабое место, на которое указывает Deno, — покрытие протоколов и reachability сети. LLM gateways видят обращения к модели, но агенты также вызывают databases, shells, Kubernetes clusters, SaaS APIs и internal systems. HTTP proxies могут ограничивать outbound web requests, но они по природе не понимают Postgres или SSH. Local sandboxes режут то, что агент может сделать со своего хоста, но Deno говорит, что ее агенты уже работают на standalone VMs, поэтому для их setup это дает лишь небольшую пользу.

Credential-injecting proxies решают часть проблемы. Они могут завершать TLS, подставлять credentials и фильтровать outbound HTTP. Но Deno считает, что они все равно в основном принимают решения по HTTP method и URL, не собирают model и human approvers в цепочки и не туннелируют дальше в сети, куда хост агента не имеет доступа.

Это хороший практический тест для open-source security tools в этой области: видит ли контроль то действие, которое реально важно? Если опасная операция — SQL verb, Kubernetes resource или SSH session, то policy layer, который видит только HTTP metadata, смотрит не на тот объект.

Здесь же важен alpha-статус Claw Patrol. Широкий protocol-aware enforcement сложнее URL filtering. Для каждого поддерживаемого протокола нужны parsing, policy semantics, edge-case handling и безопасное поведение при сбоях. Deno пишет, что текущее protocol support достаточно широко для внутренних нужд, а документации должно хватить, чтобы добавить другие протоколы. Это не то же самое, что зрелое покрытие произвольных enterprise environments.

Что проверить перед использованием Claw Patrol#

Claw Patrol стоит изучить, если ваша команда дает агентам доступ к production systems, internal databases, Kubernetes clusters или customer-facing workflows. Но его не стоит сразу ставить в чувствительный путь только потому, что архитектура звучит правильно.

Перед практическими шагами проверьте конкретные вещи:

  • Какие протоколы реально использует ваш агент: HTTP, Postgres, Kubernetes, SSH или что-то другое?
  • Разбирает ли Claw Patrol сейчас именно те детали протокола, по которым вам нужно применять policy для вашего risk?
  • Где будет работать gateway и кто сможет им администрировать?
  • Можно ли запретить хосту агента обходить tunnel и напрямую ходить к целям?
  • Какие credentials переедут на gateway, как они будут храниться, rotated и audited?
  • Что происходит по умолчанию при parser failure, rule mismatch, gateway outage или approval timeout?
  • Human approvals добавляют безопасность или быстро превратятся в rubber-stamp friction?
  • Не создают ли logs новый privacy risk, захватывая prompts, query contents, customer data или secrets?

Вопрос обхода особенно важен. Gateway имеет смысл только если агент не может просто выбрать другой маршрут к той же цели. Network controls, identity policy и host restrictions все еще нужны.

Для команд, которые смотрят на open-source security как на операционное преимущество, Claw Patrol вписывается в более широкий паттерн: security artifacts должны работать в живых системах, а не только существовать в policy documents. Та же тема видна в нашем прежнем разборе open-source security как преимущества по cost и speed, а также в усилиях OpenSSF сделать security artifacts operational.

Чего не стоит обещать#

Не стоит воспринимать Claw Patrol как полное решение для agent security. Deno этого не утверждает, а метку alpha нужно воспринимать серьезно.

Claw Patrol не доказывает, что агентам можно безопасно выдавать широкий доступ к продакшену. Он не отменяет least privilege, environment separation, monitoring, incident response и внимательный review того, что агенту разрешено делать. Он также не делает LLM approval надежным по умолчанию. Модель, которая оценивает результат другой модели, может быть полезной частью цепочки, но она не заменяет ясную policy и жесткий deny path.

Более сильное утверждение уже и лучше защищается: если агенты будут трогать production systems, enforcement должен находиться вне агента, рядом с сетевым действием и с пониманием используемого протокола. Claw Patrol — open-source реализация этой идеи.

Этого достаточно, чтобы обратить на проект внимание. Не потому что он закрывает проблему agent security, а потому что точно называет место, которое во многих setup все еще размыто: разницу между «дать агенту инструмент» и «сохранить контроль над тем, что этот инструмент реально может сделать».