enclawed: A Configurable, Sector-Neutral Hardening Framework for Single-User AI Assistant Gateways

1. 通过硬分叉 OpenClaw 并删除云渠道、云模型与外部搜索等高风险模块，把“不安全状态”从配置层上移除到二进制层；再用 open/enclaved 两种 flavor 区分开发宽松模式与生产强制模式，后者强制 deny-by-default、模块签名校验、FIPS 断言和 MCP peer attestation。
2. 用可配置的 Bell-LaPadula 分类阶梯统一驱动读写控制、模块清关、输出流转和远程 MCP 连接许可；默认提供行业中立与金融、医疗、政府等预设，同时允许组织自定义 JSON 方案。
3. 组合哈希链审计日志、正则型 DLP、人工在环暂停/审批、可回滚事务缓冲、冻结式 egress guard 和零信任块链式密钥代理，形成一个主机层安全骨架；但作者也明确承认这些机制只是 backstop，不能替代 OS 级 MAC、HSM、WORM 和认证设施。
4. 论文的验证主要来自作者自建的 204 个 Node 22 测试用例（146 个单元测试、58 个对抗性 pen-test）与 22 个 TypeScript 文件的 strict typecheck；没有第三方复现、真实企业部署数据或对强基线的定量胜出，因此结论更像“工程实现可行”而非“安全收益已被严格证明”。

实验验证规模以内部工程测试为主：在 Node 22 上运行 146 个单元测试和 58 个对抗性 pen-test，共 204 个用例；覆盖分类体系、DLP、egress 保护、模块签名、审计链、HITL、事务回滚、零信任密钥代理与 MCP 相关模块。另对 22 个框架 TypeScript 文件做了 strict 模式 typecheck，并给出 17 个 .mjs 参考实现文件和 GitHub Actions CI；没有公开数据集、模型参数量或真实业务负载基准，验证主要是规则/安全测试而非性能或泛化评测。