MaskClaw Logo

基于端侧模型自进化规则抽取的个性化隐私保护框架

端侧隐私守卫 | 自进化规则引擎 | 人机协作确认

OpenClaw 等端侧 Agent 框架让手机自动完成填表、发消息、传文件成为现实。
MaskClaw 是专为这类 Agent 设计的隐私守卫层——在 Agent 执行操作前介入，判断这个动作该不该做、该怎么做，且所有推理全部在设备本地完成，数据不出端。

项目概述

MaskClaw 是一个面向端侧 Agent 隐私保护的自进化规则抽取框架。它并非传统的数据加密或内容过滤工具，而是在 Agent 执行操作前进行过程内调节：识别敏感信息、判断操作风险、智能脱敏，并随用户行为反馈持续优化防护策略。

架构图

在 MaskClaw 中，三类核心模块分工协作，模拟现实中的隐私守护者角色，协同完成视觉脱敏、行为监控、规则进化等任务。框架内置检索增强的认知机制（规则知识库 + 行为记忆），并通过基于反馈的进化式学习，使系统能够随使用积累自适应优化干预策略。

核心价值

价值维度	描述
🔒 隐私安全保障	敏感数据在端侧处理，不上传云端，满足医疗、金融等行业合规要求
🧬 个性化自适应	规则从用户真实行为中持续抽取，贴合个人隐私偏好
🤝 人机协作确认	明确的置信度分级，Unsure 机制确保冷启动可用
🔄 自进化能力	用户行为驱动规则更新，系统越用越懂用户

核心痛点

端侧 Agent 的自动化能力越强，隐私暴露面就越大。现有保护方案在三个层面上跟不上这个趋势：

🔍 感知层：只认格式，不认意图

身份证号、银行卡号这类格式化数据，现有工具尚可拦截。但 Agent 真正危险的操作往往没有固定格式——把截图发给陌生人、在不该填的地方填了真实住址、把内部文件传到外部平台。

这类行为靠正则匹配永远发现不了。

👤 适配层：只有公共规则，没有个人规则

每个人对隐私的边界不一样，同一个字段在不同职业、不同场景下的敏感程度完全不同。现有方案提供的是一套对所有人都适用的最低标准，而不是随用户习惯动态调整的个性化防护。

规则僵化，无法因人而异。

☁️ 架构层：云端审核本身就是泄露

将屏幕内容上传云端做语义判断，在很多行业的合规要求下根本不被允许，在个人用户侧也制造了"为保护隐私先出让隐私"的悖论。

数据上传云端，合规场景无法落地。

系统架构

瘦客户端 + 胖服务端 + Skill-Use 规则调度的微服务解耦架构

MaskClaw 在不改动 AutoGLM、OpenClaw 等第三方 Agent 任何代码的前提下，通过 Hooking 机制介入 Agent 的执行链路。

四层架构

📊 架构详解

层级	名称	核心组件
Layer 1	感知层 (Perception)	RapidOCR 格式敏感识别、OpenCV 本地视觉模糊处理
Layer 2	认知层 (Cognition)	MiniCPM-V 4.5 语义推理、ChromaDB RAG 规则检索
Layer 3	执行层 (Tool-Use)	Smart Masker 视觉打码、PII Detection 隐私检测
Layer 4	进化层 (Self-Evolution)	Behavior Monitor 行为监控、Skill Evolution 规则抽取、Sandbox 沙盒验证

工作流程

📸 端侧截图 → 🔍 PII 检测 → 🧠 RAG 检索 → ⚖️ 风险判决 → 🎭 视觉脱敏 → ✅ 安全转发

对第三方 Agent 完全透明

┌─────────────────────────────────────────────────────────────────────────┐
│                    传统架构：数据泄露风险                                 │
│                                                                         │
│    Agent ──→ 原始截图 ──→ 上传云端 ──→ 隐私泄露！                        │
│                                                                         │
└─────────────────────────────────────────────────────────────────────────┘

┌─────────────────────────────────────────────────────────────────────────┐
│                    MaskClaw 架构：安全闭环                               │
│                                                                         │
│    Agent ──→ 原始截图 ──→ MaskClaw ──→ 端侧脱敏 ──→ 安全数据 ──→ Agent   │
│                       ↗️                                                 │
│                  Hooking 介入                                             │
│                 无需修改 Agent 代码                                       │
│                                                                         │
└─────────────────────────────────────────────────────────────────────────┘

三大核心模块

🎭 Smart Masker

智能视觉打码模块，基于 RapidOCR 识别图片中的敏感文本区域并进行本地脱敏处理。

支持高斯模糊、马赛克、色块覆盖等多种打码方式
RapidOCR 高性能毫秒级文本识别
数据全程不出端

📊 Behavior Monitor

行为监控模块，持续监听 Agent 操作行为，捕获用户主动干预动作。

记录修改填写值、拒绝操作等修正行为
为规则进化提供数据基础
支持会话轨迹追踪

🧬 Skill Evolution

规则自进化模块，基于爬山法从纠错日志中持续优化 SOP。

从用户真实行为中抽取新规则
经沙盒测试验证后自动挂载上线
系统越用越懂用户的个人隐私边界

设计亮点

🔒 轻量端侧模型 — 数据不出端的硬核保障

语义推理由 MiniCPM-V 4.5 承担，9B 参数量在消费级设备上可本地部署。敏感信息识别与视觉模糊处理全部在本地完成，不依赖网络连接。

组件	技术选型	优势
视觉模型	MiniCPM-V 4.5 (9B)	端侧可部署，语义理解强
OCR 引擎	RapidOCR	高性能毫秒级文本识别
脱敏处理	OpenCV	本地视觉处理，零上传
规则检索	ChromaDB	高效向量相似度检索

🧬 自进化经验库 — 规则从用户行为中生长

规则不是人工维护的静态列表，而是从用户真实操作行为中持续抽取、沙盒验证后自动挂载。

用户行为 → 行为日志 → 模式识别 → 规则抽取 → 沙盒测试 → 版本发布
                                                        ↓
                                                  人工审核门禁

🤝 人机协作确认 — 五级置信度智能判决

系统对自己的判断有明确的置信度分级，不同状态下采取不同策略：

判决	条件	系统行为
Allow	规则库完整匹配，安全	直接放行
Block	规则库完整匹配，风险明确	直接拦截
Mask	规则库完整匹配，需脱敏	执行打码后放行
Ask	规则库信息不完整	主动向用户确认
Unsure	新场景无记录	标记并等待用户教授

💡 这一机制使系统在冷启动阶段也能保持可用，而不是频繁误报或漏报。

🔄 协同过滤 — 群体智慧加速个性化收敛

用户阶段	规则来源	效果
冷启动	通用基础规则集	开箱即用
早期积累	相似用户群协同过滤	快速收敛
稳定期	个人行为自进化	精准个性化

📊 P-GUI-Evo 数据集 — 业界首个 Agent 隐私评测基准

维度	规格
样本规模	622 条
用户画像	3 类（医疗顾问、带货主播、普通职员）
操作场景	6 类真实场景
泛化变体	截图劣化、话术改写、DOM结构扰动
判决标签	Allow / Block / Mask / Ask / Unsure

前端展示

MaskClaw 提供简洁直观的 Web 界面，实时展示隐私保护状态与操作记录。

🚀 发送命令	🎭 打码显示
🔔 通知提醒	🧬 Skill 列表管理

实效数据

数据集架构

维度	当前情况（实验版）	说明
样本规模	622	已剔除 discard 条目
用户画像	3 类	医疗顾问 UserA、带货主播 UserB、普通职员 UserC
分桶	D1/D2/D3	分别对应基础、泛化、噪声/新分布压力
分桶规模	D1: 216, D2: 252, D3: 154	按最终分桶清单统计
判决标签	Allow/Block/Mask/Ask/Unsure	与策略执行行为对齐

预期性能指标

指标	评测分桶	预期目标
规则抽取 F1	D1 冷启动	≥ 0.85
规则抽取 F1	D2 泛化	≥ 0.75
判决准确率	D1 全量	≥ 90%
泛化降级率	D2 vs D1	≤ 10%
Unsure 召回率	D3 新分布	≥ 80%

为什么设两层评测？ 判决准确率高不代表系统真正学到了规则。规则抽取 F1 衡量的是模型有没有抽出语义正确的规则，判决一致性层衡量的是这条规则能不能泛化到新样本。两层都过才算真正学会。

赋能场景

方向	场景描述	核心价值
📱 手机厂商系统级 Agent	小艺、小布等系统服务常驻	对所有第三方 Agent 统一兜底，无需逐一适配
💼 企业移动办公套件	钉钉、飞书插件层	防止内部敏感信息经由 Agent 流出企业边界
🏥 医疗、金融终端设备	行业合规敏感场景	数据不出端架构满足行业强制要求

项目结构

MaskClaw/
├── api_server.py                 # FastAPI HTTP 服务 (端口 8001)
├── auth_router.py                # 认证路由模块
├── evolution_daemon.py           # 进化守护进程
├── notifications_router.py       # 通知路由模块
├── proxy_agent.py                # 代理 Agent 核心逻辑
├── requirements.txt              # Python 依赖列表
├── docker-compose.yml            # Docker 容器编排
├── Dockerfile                    # Docker 镜像构建
├── STARTUP.md                    # 启动说明文档
├── AGENTS.md                     # Agent 行为约束文档
│
├── docs/                         # 文档目录
│   ├── ARCHITECTURE.md           # 系统架构文档
│   ├── SKILLS_API.md             # Skills API 文档
│   ├── RAG_SCHEMA.md             # RAG 数据模式
│   ├── PROMPT_TEMPLATES.md       # Prompt 模板文档
│   ├── SESSION_TRACE_FORMAT.md   # 会话轨迹格式
│   └── self_evolution_mechanism.md # 自进化机制文档
│   
│
├── model_server/                 # 模型服务
│   ├── minicpm_api.py            # MiniCPM-V 视觉模型 API (端口 8000)
│   ├── requirements.txt          # 模型服务依赖
│   └── memory/chroma_storage/   # ChromaDB 数据 (运行时生成)
│
├── memory/                        # 记忆存储
│   ├── chroma_manager.py        # ChromaDB 管理器
│   ├── rag_client.py            # RAG 检索客户端
│   ├── log_processor.py         # 日志处理器
│   └── chat_history_db.py       # 聊天历史存储
│
├── skills/                        # 系统内置 Skills (平台级能力)
│   ├── smart_masker.py          # 🎭 视觉打码模块
│   ├── behavior_monitor.py       # 📊 行为监控模块
│   └── evolution_mechanic.py    # 🧬 自进化机制
│
├── sandbox/                       # 沙盒测试
│   ├── sandbox_validator.py     # 沙盒验证器
│   ├── semantic_evaluator.py    # 语义评估器
│   └── checklist_evaluator.py   # 检查清单评估器
│
├── prompts/                       # Prompt 模板
│   ├── evolution_rule_extract.txt
│   ├── evolution_skill_writing.txt
│   ├── privacy_analysis.txt
│   ├── relevance_assessment.txt
│   └── retrieval_decision.txt
│
├── scripts/                       # 辅助脚本
│   ├── generate_skills.py       # 生成 Skills
│   ├── migrate_logs_to_chains.py
│   ├── seed_notifications.py    # 初始化通知数据
│   ├── seed_skills_db.py        # 初始化 Skills 数据库
│   └── split_traces.py
│
├── skill_registry/               # Skills 注册表
│   ├── __init__.py
│   └── skill_db.py              # Skills 数据库管理
│
├── user_skills/                  # 用户个性化 Skills (L3 Evolution 生成)
│ 
│
└── windows_sdk/                   # Windows SDK (AutoGLM 集成)

快速开始

1. 安装依赖

pip install chromadb rapidocr-onnxrunner onnxruntime pillow opencv-python \
            fastapi uvicorn requests transformers>=4.51.0 torch

2. 启动模型服务 (端口 8000)

cd model_server
python minicpm_api.py

3. 启动隐私代理服务 (端口 8001)

python api_server.py

4. 验证服务状态

curl http://127.0.0.1:8001/

5. SSH 端口映射

ssh -L 8001:127.0.0.1:8001 root@服务器 -N

API 接口

健康检查

# 隐私代理服务
curl http://localhost:8001/

# MiniCPM 视觉模型
curl -X POST http://localhost:8000/chat -F "prompt=hello"

处理截图（返回脱敏图片）

curl -X POST http://localhost:8001/process \
  -F "[email protected]" \
  -F "command=分析当前页面隐私" \
  -o output.jpg

规则管理

# 查看所有规则
curl http://localhost:8001/rules

# 添加新规则
curl -X POST http://localhost:8001/rules \
  -H "Content-Type: application/json" \
  -d '{"scenario": "账号注册页", "target_field": "手机号", "document": "禁止填写真实手机号"}'

文档索引

文档	内容说明
系统架构	系统整体设计与端云协同架构
Skills API	三大核心 Skills 的输入输出契约
RAG 数据模式	ChromaDB 向量数据库的存储范式
Prompt 模板	端侧 LLM 推理与代码生成的模板
Agent 行为约束	LLM 调度 Skills 的核心原则

伦理声明

⚠️ 请在引用、部署或二次开发前阅读

本项目面向隐私保护、风险识别与产品安全治理，不用于法律意义上的身份认证

基于对话内容的隐私判断本质上是概率推断，而非身份事实确认

项目不鼓励将模型输出直接用于惩罚性、歧视性或不可申诉的自动化决策

涉及高风险处置、模式切换、账号限制时，应保留人工复核与申诉机制

数据处理遵循最小化原则，只在必要时进行脱敏处理

支持与联系

📂 GitHub 仓库: https://github.com/Theodora-Y/MaskClaw
🐛 问题反馈: Issues 页面
💡 功能建议: Discussions 页面

引用

@misc{maskclaw_2026,
  title        = {MaskClaw: On-device Privacy-Preserving Framework with Self-Evolving Rule Extraction for Agent Systems},
  author       = {MaskClaw Team},
  year         = {2026},
  howpublished = {https://github.com/Theodora-Y/MaskClaw}
}

Made with ❤️ by MaskClaw Team • 2026

维度	MaskClaw	EdgeClaw	Google DLP	Microsoft Presidio	云端大模型审核
语境感知	✅ 多条件组合判断	✅ S1/S2/S3 分类（规则 + 本地 LLM 语义）	❌ 格式匹配	❌ 格式匹配	⚠️ 语义理解但需上云
个性化规则	✅ 自动抽取持续进化	⚠️ 规则可自定义，但需手动配置	❌ 静态规则库	❌ 静态规则库	❌ 无记忆
数据不出端	✅ 全端侧	✅ S2 脱敏转发，S3 完全本地	❌ 需联网	✅ 本地可部署	❌ 必须上传截图
自进化能力	✅ 有，用户行为驱动	❌ 无，纯静态规则	❌ 无	❌ 无	❌ 无
不确定性输出	✅ Unsure 机制	❌ 无	❌ 无	❌ 无	❌ 无
Agent 集成	✅ Hooking 零改造	✅ 10 个 Hook，覆盖完整生命周期	⚠️ 独立服务需接入	⚠️ 独立服务需接入	⚠️ API调用需接入