Formal Verification（形式化验证）（安全模型）

本页跟踪 OpenClaw 的形式化安全模型（目前使用 TLA+/TLC；根据需要添加更多）。

注意：一些较旧的链接可能引用以前的项目名称。

目标（北极星）： 提供一个机器检查的论证，证明 OpenClaw 在明确的假设下强制执行其预期的安全策略（授权、会话隔离、工具门控和配置错误安全）。

今天的内容： 一个可执行的、攻击者驱动的安全回归套件：

• 每个声明都有一个可运行的有限状态空间的模型检查。
• 许多声明都有一个配对的负面模型，为现实的 bug 类生成反例跟踪。

还不是什么（尚未）： 证明"OpenClaw 在所有方面都是安全的"或完整的 TypeScript 实现是正确的。

模型存放位置

模型在单独的仓库中维护：vignesh07/openclaw-formal-models。

重要注意事项

• 这些是模型，不是完整的 TypeScript 实现。模型和代码之间可能存在差异。
• 结果受 TLC 探索的状态空间的限制；"绿色"并不意味着超出建模假设和边界的安全性。
• 一些声明依赖于明确的环境假设（例如，正确的部署、正确的配置输入）。

重现结果

目前，通过在本地克隆模型仓库并运行 TLC（见下文）来重现结果。未来的迭代可以提供：

• CI 运行模型，带有公共工件（反例跟踪、运行日志）
• 用于小型、有界检查的托管"运行此模型"工作流程

开始：

git clone https://github.com/vignesh07/openclaw-formal-models
cd openclaw-formal-models

# 需要 Java 11+（TLC 在 JVM 上运行）。
# 该仓库提供了固定的 `tla2tools.jar`（TLA+ 工具）并提供 `bin/tlc` + Make 目标。

make <target>

Gateway 暴露和开放 Gateway 配置错误

声明： 在没有身份验证的情况下绑定到回环之外可能导致远程妥协/增加暴露；token/password 阻止未授权攻击者（根据模型假设）。

• 绿色运行：
  • make gateway-exposure-v2
  • make gateway-exposure-v2-protected
• 红色（预期）：
  • make gateway-exposure-v2-negative

另请参阅：模型仓库中的 docs/gateway-exposure-matrix.md。

Nodes.run pipeline（最高风险能力）

声明： nodes.run 需要（a）node 命令允许列表加上声明的命令，以及（b）配置时的实时审批；审批被令牌化以防止重放（在模型中）。

• 绿色运行：
  • make nodes-pipeline
  • make approvals-token
• 红色（预期）：
  • make nodes-pipeline-negative
  • make approvals-token-negative

Pairing store（DM 门控）

声明： 配对请求遵守 TTL 和待处理请求上限。

• 绿色运行：
  • make pairing
  • make pairing-cap
• 红色（预期）：
  • make pairing-negative
  • make pairing-cap-negative

Ingress gating（提及 + 控制命令绕过）

声明： 在需要提及的组上下文中，未经授权的"控制命令"无法绕过提及门控。

• 绿色：
  • make ingress-gating
• 红色（预期）：
  • make ingress-gating-negative

Routing/session-key isolation（路由/会话键隔离）

声明： 来自不同对等方的 DM 不会折叠到同一会话中，除非明确链接/配置。

• 绿色：
  • make routing-isolation
• 红色（预期）：
  • make routing-isolation-negative

v1++：额外的有界模型（并发、重试、跟踪正确性）

这些是后续模型，围绕现实世界的故障模式（非原子更新、重试和消息扇出）加强保真度。

Pairing store 并发/幂等性

声明： 配对存储应在交错下强制执行 MaxPending 和幂等性（即，"检查然后写入"必须是原子/锁定的；刷新不应创建重复项）。

含义：

• 在并发请求下，你不能超过频道的 MaxPending。

• 相同 (channel, sender) 的重复请求/刷新不应创建重复的活动待处理行。

• 绿色运行：

  • make pairing-race（原子/锁定的上限检查）
  • make pairing-idempotency
  • make pairing-refresh
  • make pairing-refresh-race

• 红色（预期）：

  • make pairing-race-negative（非原子 begin/commit 上限竞争）
  • make pairing-idempotency-negative
  • make pairing-refresh-negative
  • make pairing-refresh-race-negative

Ingress trace correlation / idempotency（入口跟踪关联/幂等性）

声明： 摄取应在扇出中保留跟踪关联，并在 provider 重试下具有幂等性。

含义：

• 当一个外部事件变成多个内部消息时，每个部分保持相同的跟踪/事件身份。

• 重试不会导致重复处理。

• 如果 provider 事件 ID 丢失，去重会回退到安全键（例如跟踪 ID）以避免丢弃不同的事件。

• 绿色：

  • make ingress-trace
  • make ingress-trace2
  • make ingress-idempotency
  • make ingress-dedupe-fallback

• 红色（预期）：

  • make ingress-trace-negative
  • make ingress-trace2-negative
  • make ingress-idempotency-negative
  • make ingress-dedupe-fallback-negative

Routing dmScope precedence + identityLinks（路由 dmScope 优先级 + identityLinks）

声明： 路由必须默认保持 DM 会话隔离，并仅在明确配置时折叠会话（频道优先级 + 身份链接）。

含义：

• 频道特定的 dmScope 覆盖必须优于全局默认值。

• identityLinks 应仅在明确链接的组内折叠，而不是在不相关的对等方之间。

• 绿色：

  • make routing-precedence
  • make routing-identitylinks

• 红色（预期）：

  • make routing-precedence-negative
  • make routing-identitylinks-negative