Javaclaw：面向企业级安全Agent工作流的Spring原生框架

本文介绍Javaclaw项目，一个基于Spring Boot和Spring AI构建的Java Agent运行时框架，提供策略引擎、审批门控、完整审计追踪等企业级安全特性，让开发团队能够在生产环境中安全地部署LLM驱动的智能工作流。

随着大型语言模型（LLM）能力的不断提升，越来越多的企业开始探索将AI Agent应用于生产环境。然而，与传统软件不同，AI Agent具有自主决策和执行能力，这带来了独特的安全与治理挑战：

• 不可预测性：Agent可能产生意料之外的工具调用或操作序列
• 权限边界模糊：Agent需要访问哪些资源？如何限制其操作范围？
• 缺乏可审计性：Agent的决策过程往往是黑盒，难以追溯和审查
• 风险操作无管控：高危操作（如数据库写入、命令执行）缺乏人工审批机制

这些挑战使得许多企业虽然看好AI Agent的潜力，却不敢将其部署到生产环境。Javaclaw框架正是为了解决这些问题而生。

Javaclaw是一个基于Spring生态的轻量级Agent运行时框架，专为需要严格治理的企业场景设计。它构建于Spring AI之上，充分利用了Spring Boot 3.4和Java 21的现代特性，采用Apache 2.0开源协议。

项目的核心理念是：在提供AI Agent强大能力的同时，通过策略引擎、审批门控和审计追踪，确保每一个操作都在可控范围内。

Javaclaw的策略引擎允许管理员为每个工具、每个Agent配置独立的执行策略。策略决策有三种结果：

• ALLOW：允许执行，无需额外审批
• DENY：拒绝执行，该工具对此Agent不可用
• REQUIRE_APPROVAL：需要人工审批后才能执行

这种细粒度的控制机制使得企业可以根据业务场景和风险偏好，灵活配置Agent的权限边界。例如，代码搜索工具可以设为ALLOW，而数据库写入工具可以设为REQUIRE_APPROVAL。

对于被标记为REQUIRE_APPROVAL的工具调用，Javaclaw会在执行前暂停任务，等待人工审批。审批请求包含以下信息：

• 工具名称和输入参数
• 风险等级评估（HIGH/MEDIUM/LOW）
• 触发审批的原因说明

审批者可以通过REST API查看待审批任务列表，并选择批准或拒绝。批准后任务自动恢复执行；拒绝后任务进入CANCELLED状态。这种设计确保了高危操作不会在没有人工确认的情况下自动执行。

Javaclaw为每个Agent任务维护完整的审计日志，记录以下事件：

• TASK_CREATED：任务创建，记录初始目标
• TASK_STARTED：任务开始执行，记录使用的Agent配置
• POLICY_CHECK：策略检查，记录工具名和决策结果
• TOOL_EXECUTED：工具执行，记录输入参数和返回结果
• APPROVAL_REQUESTED：审批请求，记录待审批的操作详情
• APPROVAL_RESOLVED：审批决议，记录审批结果和原因
• TASK_COMPLETED / TASK_FAILED / TASK_CANCELLED：任务终态

这种全链路审计能力不仅满足了合规要求，也为问题排查和系统优化提供了数据基础。

Javaclaw采用清晰的分层架构：

入口层：支持REST API和Slack Bot两种接入方式。REST API适合系统集成，Slack Bot适合交互式场景。

运行时层：实现Agent的执行循环（think → act → observe），管理任务状态和工具调用。

工具层：内置常用工具（文件读取、代码搜索、命令执行、GitHub操作等），支持自定义工具扩展。

策略层：策略引擎检查每个工具调用，根据配置规则做出决策。

AI层：通过Spring AI对接底层LLM（OpenAI、Anthropic、Ollama等）。

Javaclaw的Agent执行遵循经典的ReAct模式：

1. Think：LLM分析当前状态，决定下一步行动
2. Act：调用选定的工具，获取执行结果
3. Observe：将观察结果反馈给LLM，更新状态
4. 循环直到任务完成或达到最大步数限制

每一步的工具调用都会经过策略引擎检查，确保符合安全策略。