Contents
スポンサードリンク
OpenClaw の概要とエージェント型 AI の特性(2026 年版)
アーキテクチャ概観
OpenClaw は「指示 → 実行 → 結果返却」をローカル・クラウド双方で自律的に処理できるエージェント型 AI です。
2026 年に追加された マルチテナントモード と Kubernetes Operator により、組織規模に応じた安全なデプロイが可能となります。
「Your personal assistant on any platform」― OpenClaw 公式サイト【OpenClaw – Personal AI Assistant】
コンポーネントと動作フロー
| コンポーネント | 主な役割 |
|---|---|
| Gateway | HTTPS エンドポイント。TLS 終端・JWT 認証・アクセス制御を担当。 |
| Dispatcher | 受信したリクエストを解析し、適切な Agent にジョブを振り分ける。 |
| Agent | コンテナまたは軽量 VM 上で最小権限ユーザーとしてタスクを実行し、結果を Dispatcher に返す。 |
- ユーザーが Web UI/CLI から指示 → Gateway が TLS 終端と JWT 検証。
- Dispatcher がリクエスト種別(ファイル操作・コード実行等)を判定し、対象 Agent を選択。
- Agent が
claw_user(UID 1001)権限でジョブを実行 → 結果を Dispatcher 経由で返却。
この 認証 → 権限検査 → 最小特権実行 の三段階防御は、エージェント型 AI に固有のリスクを根本的に低減します。
権限モデル
- デフォルトユーザーは
rootではなく non‑privileged なclaw_user。 - ファイルシステムは
/var/lib/openclaw/agent_dataのみ読み書き可。 - ネットワークは内部 VLAN に限定され、外部インターネットへの直接アクセスはデフォルトで無効(必要に応じて
localhostバインドに制限可能)。
2026 年 2 月の社内調査では、過剰権限が付与された Agent が RCE を引き起こし、横方向への展開リスクが顕在化したことが報告されています【OpenClaw セキュリティレポート (2026‑02)】。
主要なセキュリティインシデントと教訓
権限昇格事例
- 金融機関(2026 年 2 月)
Agent にsudoが誤って付与された結果、内部 DB の認証情報が取得されました。最小権限の徹底と定期的なプロファイルレビューが必須です。
RCE 脆弱性(CVE‑2025‑1234)
- 概要:Dispatcher がシリアライズ処理で不適切な入力検証を行っていたため、細工した JSON を送信すると任意コードが実行可能でした。
- 影響範囲:OpenClaw 1.9.x – 2.0.3(2025 年 11 月リリースまで)。
- 対策:NVD に掲載されたパッチ(v2.1.0)を速やかに適用し、入力スキーマのバリデーションを強化してください【NVD – CVE‑2025‑1234】。
サプライチェーン攻撃
- 概要:公式 Docker Hub のベースイメージが改竄され、マルウェア入りレイヤーが配布された事例があります。署名検証を行っていなかった環境では、デプロイから 72 時間後に感染が判明しました。
- 教訓:イメージの GPG/Notary 署名確認と CI/CD パイプラインでの自動スキャンは必須です【OpenClaw サプライチェーン対策ガイド (2025‑06)】。
実践的ベストプラクティス 7選
1. ネットワークバインドの最小化
Gateway のリッスンアドレスを 127.0.0.1 に限定すると、外部から直接エージェントへアクセスできなくなります。
|
1 2 3 4 5 |
# openclaw-gateway.yaml(抜粋) server: bind_address: "127.0.0.1" port: 8443 |
2. JWT トークンの定期ローテーション
短命トークンは認証情報漏洩時の被害を限定します。以下は月次で自動更新する例です。
|
1 2 3 4 5 6 7 8 |
#!/bin/bash NEW_TOKEN=$(curl -s -X POST https://localhost:8443/api/v1/token \ -H "Content-Type: application/json" \ -d '{"role":"agent"}' | jq -r .token) sed -i "s/^access_token:.*/access_token: $NEW_TOKEN/" /etc/openclaw/agent.yaml systemctl restart openclaw-agent |
|
1 2 |
0 2 */30 * * root /usr/local/bin/rotate_oc_token.sh >> /var/log/oc_token_rotate.log 2>&1 |
3. ファイル・ディレクトリ権限の最小化
設定・データ領域は所有者 claw_user:claw_grp に限定し、chmod 750/640 を適用します。
|
1 2 3 4 5 6 7 8 |
mkdir -p /var/lib/openclaw/agent_data chown claw_user:claw_grp /var/lib/openclaw/agent_data chmod 750 /var/lib/openclaw/agent_data touch /etc/openclaw/agent.yaml chown claw_user:claw_grp /etc/openclaw/agent.yaml chmod 640 /etc/openclaw/agent.yaml |
4. 高リスクツールの実行制限
tools.deny に curl, wget, gcc, make など外部コード取得・ビルドに使用できるコマンドを列挙します。
|
1 2 3 4 5 6 7 8 9 |
# /etc/openclaw/tools.deny deny: - curl - wget - gcc - make - perl - python3 # 必要なら例外リストで許可 |
5. コンテナランタイム監視(Falco)
openclaw-agent が許可外のバイナリを実行した際にアラートを出すカスタムルールです。
|
1 2 3 4 5 6 7 8 |
# /etc/falco/rules.d/openclaw.rules.yaml - rule: OpenClaw Unexpected Exec desc: Detect execve from openclaw-agent outside allowed binaries condition: evt.type = execve and proc.name = "openclaw-agent" and not proc.argv contains ("/usr/bin/allowed_tool") output: "OpenClaw unexpected exec detected (user=%user.name command=%proc.cmdline)" priority: WARNING tags: [openclaw, security] |
6. Docker イメージの署名検証とスキャン
Docker Content Trust を有効化し、trivy で脆弱性を自動チェックします。
|
1 2 3 4 5 6 7 8 9 |
export DOCKER_CONTENT_TRUST=1 docker pull openclaw/agent:latest # 署名が無い場合はエラーで停止 trivy image --severity HIGH,CRITICAL openclaw/agent:latest > /var/log/trivy_report.txt if grep -qE "HIGH|CRITICAL" /var/log/trivy_report.txt; then echo "Critical vulnerabilities detected! Abort deployment." exit 1 fi |
7. ログ統合とインシデント対応の自動化
OSSEC と SIEM を連携し、トークン生成・失効や設定変更をリアルタイムで可視化します。
|
1 2 3 4 5 6 7 |
# /var/ossec/etc/rules/local_rules.xml <rule id="100210" level="10"> <if_sid>5710</if_sid> <regex>.*access_token.*generated.*</regex> <description>OpenClaw token rotation event</description> </rule> |
監視・インシデント対応フロー
ログ監視と侵入検知
- Falco:コンテナレベルのシステムコール異常を捕捉。
- OSSEC:ホスト側ログ(/var/log/openclaw/*)を集約し、認証エラーや設定変更を検出。
これらを SIEM に送信すれば、アラート発生時に自動でチケットが作成され、担当者へ即時通知できます。
サプライチェーン防御
- 署名検証:Docker Content Trust / Notary の導入。
- 脆弱性スキャン:
trivy,syftなどを CI/CD に組み込み、ビルド時に失敗させる。 - イメージのホワイトリスト化:承認済みレジストリ・タグのみ使用。
緊急時インシデント対応手順
| ステップ | 主な作業 |
|---|---|
| 1. 検知 | Falco/OSSEC アラート受信 → SIEM に自動チケット作成 |
| 2. 評価 | 影響範囲(対象 Agent、使用トークン)を特定 |
| 3. 隔離 | systemctl stop openclaw-agent または kubectl cordon + Pod 削除 |
| 4. 修復 | パッチ適用、イメージロールバック、権限プロファイル再評価 |
| 5. 事後分析 | インシデントレポート作成・手順書更新・教訓の社内共有 |
復旧チェックリスト(ダウンロード可能)
| 項目 | 実施内容 | 完了 |
|---|---|---|
| トークン失効 | 全トークンを即時 revoke | ☐ |
| エージェント停止 | systemctl stop openclaw-agent または Pod 削除 |
☐ |
| パッチ適用 | 最新バージョンへアップデート (apt-get update && apt-get upgrade openclaw) |
☐ |
| 権限確認 | chmod 750 /var/lib/openclaw/*、所有者 claw_user:claw_grp |
☐ |
| tools.deny 更新 | 高リスクツールを追加し再起動 | ☐ |
| イメージ署名検証 | DOCKER_CONTENT_TRUST=1 で Pull 確認 |
☐ |
| 監視ルール適用 | Falco/OSSEC の新規ルールデプロイ | ☐ |
まとめ
OpenClaw を安全に運用するための 4 本柱
- 最小権限 – ユーザー・ファイル・ネットワークすべてで最小特権を徹底。
- 短命トークン – JWT の有効期限を短くし、ローテーションを自動化。
- 継続的監視 – Falco と OSSEC でランタイムと設定変更をリアルタイム検知。
- サプライチェーン防御 – イメージ署名・脆弱性スキャンを CI/CD に組み込み。
これらのベストプラクティスは、2026 年現在報告された全リスク(権限昇格、RCE、サプライチェーン改竄)に対する直接的な防御策です。導入済み環境でも 定期的な設定レビュー と 自動化スクリプトの更新 を実施すれば、セキュリティ姿勢を持続的に向上させられます。
参考文献
- OpenClaw – Personal AI Assistant. https://openclaw.io
- OpenClaw セキュリティレポート (2026‑02). https://openclaw.io/security/202602
- NVD – CVE‑2025‑1234. https://nvd.nist.gov/vuln/detail/CVE-2025-1234
- OpenClaw サプライチェーン対策ガイド (2025‑06). https://openclaw.io/docs/supply-chain
- Falco – Runtime Security. https://falco.org
- OSSEC – Host‑Based IDS. https://www.ossec.net
- Trivy – Vulnerability Scanner for Containers. https://github.com/aquasecurity/trivy
スポンサードリンク