ClawNet:面向跨用户自主协作的人机共生智能体网络 ClawNet: Human-Symbiotic Agent Network for Cross-User Autonomous Cooperation
提出人机共生范式,用身份绑定、范围授权、行动问责三大治理原语支撑跨用户智能体协作
前置知识
LLM 智能体与 OS 级控制
基于大语言模型推理、能在操作系统层面调用文件、终端、桌面等资源的自治系统,代表工作如 OpenClaw 与 Anthropic Computer Use,把智能体能力从'建议'推进到'行动'。
ClawNet 假设智能体已经具备 OS 级文件与进程操控能力,并把这种能力作为跨用户协作的'手脚',理解本文必须先知道 OS 级智能体是什么。
多智能体协作框架
让多个智能体在同一目标下分工协作的系统,如 MetaGPT、AutoGen、CrewAI、LangGraph、ChatDev 等,通过角色扮演与结构化工作流完成任务,但所有智能体共享同一委托人。
本文把多智能体框架作为对比基线,强调它们'单委托人'的设计无法处理不同人类利益冲突,是 ClawNet 要解决的核心场景。
身份绑定与范围授权
身份绑定指每个操作可追溯到唯一主体;范围授权指主体只能在其被授予的资源子集内活动,越界即拒绝并上报,是企业级权限管理(RBAC/ACL)的核心思想。
这是 ClawNet 三大治理原语中的前两项,把企业 IT 治理思路平移到智能体协作中,没有这个背景就很难理解为什么需要 Manager/Identity 分层。
认知耦合与分层记忆
智能体通过长期记忆(事实记忆、模式记忆、价值记忆)逐步建立对主人的稳定认知模型,使代理在无人干预下能代表主人做出符合偏好的判断,是从'工具'走向'代理人'的关键。
本文把'身份绑定'具象化为认知耦合,三层记忆是身份智能体能跨会话持续代表主人的基础,是论文最核心的方法贡献之一。
研究动机
当前 AI 智能体框架无论单体还是多智能体(如 MetaGPT、AutoGen、CrewAI、LangGraph、ChatDev),都只服务单一用户:所有智能体共享同一个委托人、同一目标和同一信任域。Google 推出的 Agent2Agent(A2A)协议虽然解决了跨框架的消息交换,但既不绑定具体主人,也不强制授权范围,更不留下审计责任链。即便让不同用户的智能体直接对话,没有身份绑定就会出现'冒名顶替',没有范围授权就会发生数据越权泄露,没有行动问责就无法追究决策责任——这正是 Shavit、Casper、de Witt 等人反复指出的治理真空。论文用一个具体场景说明风险:若管理智能体同时掌握工作合同与个人健康数据,被同事随口问'最近怎么样'时就可能泄露私人信息,而依赖提示词的'不要泄露'约束在统计上无法保证。
本文的目标是论文目标是提出一种'人机共生智能体范式'并落地为 ClawNet 框架,使每个用户拥有一个永久绑定的智能体系统,作为其在跨用户协作中的代理;通过身份绑定、范围授权、行动级问责三大治理原语,从架构层面(而非提示词层面)保证多用户智能体协作的安全、可审计与可撤销,使不同用户的智能体能在保护各自隐私的前提下代表人类完成协商、委派与决策。论文同时强调,这一目标不是要替代现有框架,而是补齐跨用户协作的治理缺口,让 OpenClaw 这类 OS 级智能体从'单用户执行器'升级为'多用户协作网络节点'。
与已有工作不同的是,现有工作在三个层面各自推进但都未端到端落地:单智能体框架(OpenClaw、Computer Use)解决了单用户执行能力,多智能体框架解决了单委托人多角色协作,A2A 协议解决了跨框架通信,但没有一项工作把'不同人类利益方'作为一等公民来设计。论文的独特切入角度是把人类(而不是智能体)作为协作网络的节点,让智能体仅作为受治理的边,并进一步通过'分层身份架构'让掌握全量认知的管理智能体在结构上'无法'对外通信,把'不应泄露'的提示级约束升级为'不可能泄露'的架构级强制。
核心方法
ClawNet 把跨用户协作建模成以人类为节点、以受治理智能体交互为边的协作网络 $\mathcal{G} = (\mathcal{U}, \mathcal{E})$,采用云-边架构落地:云端为每个用户启动独立网关容器,运行管理智能体 $\mathcal{M}_u$ 与一组身份智能体 $\{I_1^u, \ldots, I_k^u\}$,通过 think/act 循环驱动 LLM 推理;边端是用户本地客户端,充当交互门户与节点端点(NodeEndpoint),负责实际文件系统读写。每个身份智能体 $I_i^u = (c_i, \sigma_i, \mathcal{K}_i, \mathcal{P}_i)$ 对应一个具体协作上下文(如'采购经理'),携带受限知识 $\mathcal{K}_i \subset \mathcal{K}_u$ 与授权边界 $\sigma_i \subseteq \mathcal{R}_u$;管理智能体 $\mathcal{M}_u$ 拥有跨身份全局视角,但被架构级隔离不允许对外通信,只能作为内部顾问;身份通过'事实-模式-价值'三层记忆累积形成认知耦合。
核心创新是把'安全'从'行为约束'升级为'结构确定':分层身份架构让管理智能体掌握全量认知但在结构上不能对外通信,把跨域推理能力与外部暴露面彻底解耦;双层独立授权(云端 L1 ACL + 边端 L2 文件夹白名单)以'任一层拒绝即全链拒绝'的 fail-closed 设计实现纵深防御;行动级审计把每次操作记为 $\ell = (o, u, I_i^u, \text{result}, t)$ 并自动备份原文件,让主人拥有对智能体行为的'主权修正权'。与已有方案的本质区别在于:多智能体框架假设同一委托人因此不需要这些机制,A2A 协议只解决通信不解决治理,而 ClawNet 把身份、授权、问责做成端到端可部署的系统。
方法步骤详情
第一步身份绑定与认知耦合:智能体通过日常任务积累事实记忆(文件位置、目录结构),抽取模式记忆(工作流习惯、沟通风格),内化价值记忆(信息红线、谈判底线),三层记忆跨会话累积形成个性化代理。第二步分层身份架构部署:每用户获独立网关容器,管理智能体 $\mathcal{M}_u$ 与身份智能体在容器内逻辑分区,$\mathcal{M}_u$ 聚合访问获得全局认知但路由层结构上无法接收外部消息。第三步跨用户协作:$I_i^u$ 产生与 $v$ 协作意图时,系统拦截并向双方主人发起双边授权 $approve(u, I_i^u) \wedge approve(v, I_j^v) \wedge u \in \mathcal{P}_j \wedge v \in \mathcal{P}_i$,任一方拒绝即终止;通过后进入多轮对话,服务器注入身份专属系统提示防止角色漂移,并以语义状态、最大轮次、主人随时介入三层机制控制终止。第四步文件操作:服务器做 L1 ACL 校验后经 WebSocket 转发到客户端,客户端独立做 L2 校验(含白名单与预执行备份),通过后落地本地文件系统并写入不可篡改审计日志。
技术新颖性
技术新颖性体现在三处:第一,'认知耦合'把智能体从工具升级为代理人,三层记忆(事实/模式/价值)跨越会话累积,是把 RBAC 思想与长期记忆结合的首次系统化尝试;第二,'架构级隔离'让管理智能体在网络层不可达,把安全保证从概率性的模型行为转移到确定性的系统拓扑,这是对 A2A 等纯协议方案的关键超越;第三,'双层独立授权+预执行备份'使任何破坏都被至少一道防线拦截,并且每一步都可单步撤销或批量回滚,赋予人类对智能体自治行为的'主权修正权'。论文还引入了递归协作(深度受 $d_{max}$ 限制)与身份标签发布机制,使协作网络能多跳扩展而不破坏授权边界。
实验结果
作为系统/框架论文,ClawNet 没有汇报传统的精度/F1 等数值指标,而是通过两类证据证明有效性。第一类是定性对比:论文 Table 1 把 ChatGPT/Claude Chat、ChatGPT Plugins/MCP、OpenClaw/Computer Use、MetaGPT/AutoGen/CrewAI/LangGraph/ChatDev、Google A2A 五类系统在执行层、身份绑定、范围授权、行动问责、跨所有者协作五个维度上打分(✓/△/×),结果显示现有系统在跨所有者协作维度最高仅得△(A2A),而 ClawNet 是唯一全部 ✓ 的系统。第二类是场景验证:用一个完整跨境采购协作场景(CN Tech Co. 向 US Nova-Semi 提出 $300M 目标订单)演示了 9 步闭环,证明三大治理原语在真实跨组织场景中可运行:私有数据始终留在 Nova-Semi 边界内,越界请求被治理层而非智能体判断拦截,所有需人类判断的节点都被显式升级而非自主拍板。
查看结构化数据
| 任务 | 指标 | 本文 | 基线 | 提升 |
|---|---|---|---|---|
| 跨用户智能体协作治理能力(定性对照) | 身份绑定 / 范围授权 / 行动问责 / 跨所有者协作 四维覆盖 | ClawNet 全部 ✓ | 单委托人多智能体框架(MetaGPT/AutoGen 等)在四维全部 ×;Google A2A 仅'跨所有者协作'得 △ | 从'跨所有者协作'的 △ 提升到全维 ✓,并把治理从协议层下沉到架构层可执行 |
| 跨境企业采购端到端流程 | 步骤闭环:需求→分发→并行评估→聚合→人类审批→本地执行(9 步) | 完整闭环,私有数据全程留在卖方边界,越界请求被拦截,需人类决策处显式升级 | 传统人工流程或单用户 OS 级智能体(OpenClaw/Computer Use):跨用户部分完全依赖人 | 把跨用户协作步骤从'必须人工'推进到'智能体在治理下自治' |
| 分层身份架构下的隐私隔离 | 管理智能体对外通信可达性 | 架构上不可达(cannot 级别) | 提示词约束(should not 级别),统计上不可保证 | 安全保证从概率性行为约束提升为确定性结构隔离 |
局限与改进
作者承认的局限包括:第一,论文以系统设计与场景演示为主,没有大规模量化实验,比如缺少跨上千对智能体的吞吐、延迟、审计开销基准;第二,认知耦合的三层记忆完全依赖 LLM 抽取,质量与偏差未量化,也未讨论对抗性注入(如主人故意误导)下的鲁棒性;第三,递归协作的最大深度 $d_{max}$、多轮对话阈值等关键超参数只给出存在性而未给出调参依据;第四,跨境协作案例是精心构造的单场景,对真实跨组织信任建立、争议解决、合规审计的支持未充分覆盖。我的独立观察还有:论文把'双边授权'当作治理基线,但忽视了协作网络中海量轻量交互时的人为审批疲劳;行动级审计虽完备,但日志本身的存储成本、隐私二次泄露风险和事后溯源的法律效力都未讨论;'架构级隔离'依赖中心化服务器,一旦服务器被攻破,所有用户的全局认知仍存在被聚合推断的风险。
独立分析的弱点
独立分析认为 ClawNet 主要有三处弱点:第一,治理中心化——所有身份绑定、授权决策、消息路由都依赖中心服务器,单点故障或被攻破将影响全部用户的协作能力,改进方向是引入去中心化身份(DID)或区块链审计作为外部可验证锚点;第二,缺少量化基准——目前仅用一个案例演示,三层记忆的收敛速度、协作吞吐、授权拒绝率等都没有数字,改进方向是构造跨用户协作基准(如基于 GAIA 或自建的多人任务集)并报告治理开销与决策准确率;第三,主人审批瓶颈——每次跨用户协作都需要双方显式审批,在高频协作场景下会造成严重疲劳,改进方向是引入基于策略的预授权(如对特定身份标签、合作伙伴白名单设置模板规则)结合事中事后审计,把'主动批准'降级为'异常告警'。此外,双层授权虽然纵深,但 L1/L2 策略一致性维护是部署负担,论文没有讨论版本同步与冲突解决。
未来方向
作者在结论部分明确提出的方向包括:将 ClawNet 推广为开放协议与社区基础、让治理原语成为跨智能体协作的基础设施。我的延伸思考包括四个方向:第一,与 A2A、MCP 等现有协议栈对齐,让 ClawNet 成为它们的治理增强层而非替代品;第二,引入多方利益冲突的形式化建模,例如用博弈论刻画跨身份代理在资源竞争、定价谈判中的均衡;第三,对认知耦合的记忆层做隐私可证明化,比如用差分隐私或同态加密保护价值记忆;第四,把主权修正权从'撤销文件操作'扩展到'撤销智能体决策',建立完整的版本化决策链与争议仲裁机制。
复现评估
作者提供了完整的开源资源:项目主页 http://www.clawnet.hk/ 与 GitHub 仓库 https://github.com/hkgai-official/ClawNet,论文代码、架构图与跨境采购示例都可下载。复现门槛中等偏低——核心依赖是支持 think/act 循环的 LLM 推理后端(任意主流模型即可)、容器编排(每用户独立网关容器)以及 WebSocket 长连接,本地部署也支持把云边同机部署。论文没有公开具体的提示词模板、三层记忆的具体 schema、超参数(如 $d_{max}$、最大对话轮次)的取值,也未提供评估脚本,所以'系统可跑通'门槛低,但'复现论文声称的治理效果'需要研究者自行设计跨用户场景与对照基线。算力方面,单用户容器仅需普通 LLM 推理资源,规模化部署时容器数量与用户数线性相关。
论文图表
左侧展示现有框架(如 OpenClaw):智能体作为主人的'下属执行器',资源访问宽泛但无差异、无持久身份、无跨用户通信协议,所有跨用户协调全部落到人类自己身上。右侧展示 ClawNet:智能体在主人之上形成'治理协作层',每个智能体永久绑定一个主人(身份绑定),在显式可撤销的授权下运作(范围授权),每次行动都记录到主人身份与授权依据(行动级问责),人类保留意图制定与关键决策权,所有跨用户协调通过该层内的结构化智能体协商完成。
这是论文最核心的范式对比图,一图讲清 ClawNet 与既有 OS 级智能体框架在'谁为节点、谁为边、谁来治理'上的根本区别,是把握论文立意的视觉锚点。