セキュリティ態勢、ロードマップ、そして実世界のアクションを実行できるエージェントに対する私たちの考え方。
コンピューティングセキュリティの新時代
過去20年間、セキュリティモデルはデバイスやアプリケーションをロックダウンすることを中心に構築されてきました。プロセス間通信の境界を設定し、インターネットとローカルを分離し、信頼できないコードをサンドボックス化する。これらの原則は今も重要です。
しかし、AIエージェントは根本的な変化をもたらします。
コードの指示通りに正確に実行する従来のソフトウェアとは異なり、AIエージェントは自然言語を解釈し、アクションに関する判断を下します。ユーザーの意図と機械の実行の境界を曖昧にし、言語そのものを通じて操作される可能性があります。
OpenClawのような強力なツールには大きな責任が伴うことを私たちは理解しています。適切に構築しなければ、AIエージェントはリスクとなります。適切に構築すれば、パーソナルコンピューティングをより良い方向に変えることができます。
このセキュリティプログラムは、それを正しく実現するために存在します。
背景
OpenClawはAIエージェントプラットフォームです。テキストを生成するだけのチャットボットとは異なり、OpenClawエージェントは以下のことが可能です:
- ホストマシン上でシェルコマンドを実行する
- WhatsApp、Telegram、Discord、Slackなどのチャネルを通じてメッセージを送信する
- ワークスペース内のファイルを読み書きする
- インターネットから任意のURLを取得する
- 自動化タスクをスケジュールする
- 接続されたサービスやAPIにアクセスする
これらの機能こそがOpenClawを有用にするものであり、セキュリティが極めて重要である理由でもあります。
実世界のアクションを実行できるAIエージェントは、従来のソフトウェアにはないリスクをもたらします:
- プロンプトインジェクション - 悪意のあるユーザーがメッセージを巧みに作成し、AIを操作して意図しないアクションを実行させることができます
- 間接インジェクション - 取得したURL、メール、ドキュメント内の悪意のあるコンテンツがエージェントの動作を乗っ取る可能性があります
- ツールの悪用 - インジェクションがなくても、設定が不適切なエージェントは過度に寛容な設定により被害を引き起こす可能性があります
- アイデンティティリスク - エージェントがあなたの代わりにメッセージを送信し、人間関係や評判を損なう可能性があります
これらは理論上のリスクではありません。すべてのAIエージェントシステムに影響する、文書化された攻撃パターンです。
スコープ
このセキュリティプログラムはOpenClawエコシステム全体を対象としています。スコープ外は一切ありません。
コアプラットフォーム
- OpenClaw CLIおよびGateway(
openclaw) - エージェント実行エンジン
- ツール実装
- チャネル統合(WhatsApp、Telegram、Discord、Slack、Signalなど)
アプリケーション
- macOSデスクトップアプリケーション
- iOSモバイルアプリケーション
- Androidモバイルアプリケーション
- Webインターフェース
サービス
- ClawHub (clawhub.ai) - スキルマーケットプレイスおよびレジストリ
- ドキュメント (docs.openclaw.ai)
- すべてのホスティングインフラストラクチャ
エクステンション
- 公式エクステンション(
extensions/) - プラグインSDKおよびサードパーティプラグイン
- ClawHubを通じて配布されるスキル
人的要素
- コアメンテナーおよびコントリビューター
- セキュリティプロセスおよび対応手順
- サプライチェーンおよび依存関係の管理
プログラム概要
4つのフェーズからなる正式なセキュリティ機能を確立しています:
透明性
コミュニティの貢献を通じて脅威モデルをオープンに開発
製品セキュリティロードマップ
防御エンジニアリングの目標を定義し、公開で追跡
コードレビュー
コードベース全体の手動セキュリティレビュー
セキュリティトリアージ
脆弱性レポートを処理するための正式なプロセス
フェーズ1:透明性
目標
脅威モデルをオープンに開発・公開し、コミュニティの貢献を促すことで、ユーザーがリスクを理解し、デプロイメントについて十分な情報に基づいた判断ができるようにします。
理由
隠蔽によるセキュリティは機能しません。攻撃者はすでにこれらの技術を知っています。学術論文、セキュリティブログ、カンファレンスの講演で文書化されています。欠けているのは、ユーザーへの明確なコミュニケーションです:
- どのようなリスクが存在するか
- 私たちがどのような対策を講じているか
- ユーザーが自身を守るために何をすべきか
脅威モデルをオープンに開発することで、集合知の恩恵を受け、透明性を通じて信頼を構築します。
脅威モデルのカバレッジ
| カテゴリ | 対象リスク |
|---|---|
| A. 入力操作 | 直接プロンプトインジェクション、間接インジェクション、ツール引数インジェクション、コンテキスト操作 |
| B. 認証とアクセス | AllowFromバイパス、権限昇格、クロスセッションアクセス、APIキーの漏洩 |
| C. データセキュリティ | システムプロンプトの漏洩、ワークスペースの露出、メモリリーク、データ窃取 |
| D. インフラストラクチャ | SSRF、Gatewayの露出、依存関係の脆弱性、ファイルパーミッション |
| E. 運用 | 機密データのロギング、不十分なモニタリング、リソース枯渇、設定ミス |
| F. サプライチェーン | ClawHubスキルの完全性、エクステンションのセキュリティ、依存関係の脆弱性 |
脅威モデルのスコープ
| コンポーネント | 対象に含まれる理由 |
|---|---|
| コアプラットフォーム(CLI、Gateway、エージェント、ツール) | 主要な攻撃対象面 |
| ClawHub (clawhub.ai) | スキルマーケットプレイス - サプライチェーンリスク |
| モバイルアプリ(iOS、Android) | エージェント制御インターフェース、認証情報の保存 |
| デスクトップアプリ(macOS) | Gatewayホスト、システム統合 |
| エクステンションとプラグイン | サードパーティコードの実行 |
| ビルドおよびリリースパイプライン | 配布の完全性 |
脅威モデルの各リスクには、説明と重大度評価、攻撃例、現在の緩和策、既知のギャップ、およびユーザーへの推奨事項が含まれます。
脅威モデルはプルリクエストを通じてコミュニティの貢献を受け付けます。
フェーズ2:製品セキュリティロードマップ
目標
防御エンジニアリングの目標を定義する公開の製品セキュリティロードマップを作成し、GitHub Issuesとして追跡することで、コミュニティが進捗を追い、意見を提供し、貢献できるようにします。
防御エンジニアリングの目標
| カテゴリ | 目標 | 説明 |
|---|---|---|
| プロンプトインジェクション防御 | 入力バリデーション | インジェクション試行に対するパターン検出とアラート |
| ツール確認 | 機密性の高い操作に対する明示的な承認の要求 | |
| コンテキスト分離 | クロスセッション汚染の防止 | |
| プライバシー強化 | システムプロンプト保護 | システムプロンプトの漏洩防止 |
| データ最小化 | 不要なデータ保持の削減 | |
| 監査ログ | エージェントのアクションに対する明確な可視性 | |
| アクセス制御 | きめ細かいパーミッション | ツールごと、セッションごとのアクセス制御 |
| レート制限 | リソース枯渇の防止 | |
| 費用制御 | APIコストに対するハードリミット | |
| サプライチェーン | スキル検証 | ClawHubスキルの完全性チェック |
| 依存関係の監査 | 自動化された脆弱性スキャン | |
| 署名付きリリース | アップデートの暗号学的検証 |
具体的な優先課題はフェーズ3のコードレビューを通じて特定され、発見とトリアージに応じて公開ロードマップに追加されます。
フェーズ3:コードレビュー
目標
コミュニティは常に欠陥の発見と修正に取り組んでおり、すべてのコントリビューションに感謝しています。しかし、これはコントリビューターがベストエフォートで貢献するオープンソースプロジェクトであることも認識しています。フェーズ3は、根深いシステム的な問題を排除し、コード品質とユーザーの安全性を全体的に向上させるために特別に設計された、専用の包括的なセキュリティ評価です。
スコープ
コードレビューはOpenClawのコードベースとエコシステム全体を対象とします:
| 領域 | パス | 理由 |
|---|---|---|
| エージェント実行 | src/agents/ | コアの攻撃対象面 - エージェントの動作方法 |
| ツール実装 | src/agents/tools/ | エージェントの能力 - 実行、メッセージング、Web |
| メッセージ処理 | src/auto-reply/ | すべてのユーザー入力のエントリポイント |
| セキュリティユーティリティ | src/security/ | 既存のセキュリティ制御 |
| Gatewayサーバー | src/gateway/ | ネットワークに露出したコンポーネント |
| 認証 | src/*/auth* | 認証情報の処理、APIキー |
| セッション管理 | src/config/sessions.ts | クロスセッション分離 |
| ペアリングとアクセス制御 | src/pairing/, src/*/access-control* | DMおよびグループのゲーティング |
| 外部コンテンツ処理 | src/security/external-content.ts | インジェクション防御 |
| macOSデスクトップアプリ | apps/macos/ | Gatewayホスト、システム統合 |
| iOSモバイルアプリ | apps/ios/ | エージェント制御、認証情報の保存 |
| Androidモバイルアプリ | apps/android/ | エージェント制御、認証情報の保存 |
| ClawHub | clawhub.ai | スキルレジストリ - サプライチェーンリスク |
| 公式エクステンション | extensions/ | ファーストパーティプラグイン |
| ビルドおよびリリースパイプライン | CI/CD, scripts | 配布の完全性、署名 |
アプローチ
- 手動コードレビュー - セキュリティ上重要なパスに対する人間による分析
- 自動スキャン - 静的解析、依存関係の監査、シークレット検出
- 動的テスト - 稼働中のシステムに対して文書化された攻撃パターンを試行
- アーキテクチャレビュー - 信頼境界とデータフローの評価
開示
- すべてのクリティカルおよび高リスクの発見事項は公開前に修正
- 修正後に発見事項の概要を公開
- 要求に応じて完全なレポートを提供
- 該当する場合はCVEを割り当て
フェーズ4:セキュリティトリアージ機能
目標
セキュリティ脆弱性レポートの受領、トリアージ、対応のための正式なプロセスを確立します。
脆弱性の報告
セキュリティレポートを真摯に受け止めます。問題が存在するリポジトリに直接脆弱性を報告してください:
- コアCLIおよびGateway - openclaw/openclaw
- macOSデスクトップアプリ - openclaw/openclaw (apps/macos)
- iOSアプリ - openclaw/openclaw (apps/ios)
- Androidアプリ - openclaw/openclaw (apps/android)
- ClawHub - openclaw/clawhub
- トラストおよび脅威モデル - openclaw/trust
特定のリポジトリに該当しない場合、または不明な場合は security@openclaw.ai にメールをお送りください。適切に転送いたします。
レポートの必須項目
再現手順、実証された影響、修正の助言が含まれていないレポートは優先度が下がります。AI生成のスキャナー結果が大量に寄せられるため、問題を理解した研究者からの検証済みレポートを受け取っていることを確認する必要があります。
レスポンスSLA
| 重大度 | 定義 | 初回レスポンス | トリアージ | 修正目標 |
|---|---|---|---|---|
| クリティカル | RCE、認証バイパス、大規模なデータ漏洩 | 24時間 | 48時間 | 7日 |
| 高 | 重大な影響、単一ユーザーのスコープ | 48時間 | 5日 | 30日 |
| 中 | 限定的な影響、特定の条件が必要 | 5日 | 14日 | 90日 |
| 低 | 軽微な問題、多層防御 | 14日 | 30日 | ベストエフォート |
私たちのコミットメント
- すべての完全なレポートを48時間以内に確認
- 少なくとも14日ごとにステータスアップデートを提供
- アドバイザリで研究者のクレジットを表記(匿名希望の場合を除く)
- 善意のセキュリティ研究に対して法的措置を取らない
- クリティカル・高リスクの発見に対して報奨金を検討(ケースバイケース)
セキュリティとトラスト
Jamieson O'Reilly(@theonejvo)がOpenClawのセキュリティとトラストを担当しています。
JamiesonはDvulnの創設者、Aether AI(世界で最も危険なAI、あなたの味方)の共同創設者であり、CRESTアドバイザリーカウンシルのメンバーです。攻撃的セキュリティ、ペネトレーションテスト、セキュリティプログラム開発において豊富な経験を有しています。
責任範囲
- 脅威モデリングとリスク評価の主導
- コードレビューのスコープ設定と監督
- トリアージプロセスと対応手順の確立
- セキュリティ上重要なコード変更のレビュー
- セキュリティアーキテクチャの意思決定に関するガイダンスの提供
現在のセキュリティ態勢
OpenClawにはすでにセキュリティ制御が備わっています。既存の制御を理解することで、ユーザーはデプロイメントを適切に構成できます。
デフォルトで安全
不明な送信者は有効期限付きコードによるペアリングフローを完了する必要があります
許可リストにないコマンドはデフォルトで拒否され、ユーザーに承認が求められます
未設定の場合、自分の番号のみがエージェントにDMを送信できます
会話はセッションキーごとに分離されます
web_fetch内で内部IPとlocalhostをブロック
WebSocket接続には認証が必要です
設定の確認
openclaw security audit --deep確認すべき主要項目:
- DMポリシーが
pairingまたはallowlistであること(openではないこと) - チャネルに
allowFromが設定されていること - 意図的でない限り、実行セキュリティが
fullに設定されていないこと - Gatewayがループバックにバインドされているか、認証の背後にあること
- ワークスペースにシークレットが含まれていないこと
タイムライン
第1-2週:フェーズ1 - 透明性 ├── 脅威モデルの開発を開始(コントリビューション受付中) ├── セキュリティ設定ガイドの草案作成 ├── ビジュアル概要の作成 └── アナウンスの公開 第3-4週:フェーズ2 - 製品セキュリティロードマップ ├── 防御エンジニアリング目標のGitHub Issues作成 ├── セキュリティラベルとマイルストーンの設定 ├── コミュニティからの意見募集期間の開始 └── 最初のセキュリティ作業の開始 第5-8週:フェーズ3 - コードレビュー準備 ├── スコープの確定(コードベース全体) ├── レビューの開始 └── 初期の発見事項 第8-12週:フェーズ3 - コードレビュー実施 ├── 手動レビューの完了 ├── 発見事項の文書化 ├── クリティカル・高リスクの修正 └── 検証の完了 第8週以降:フェーズ4 - トリアージ機能 ├── security@openclaw.ai の運用開始 ├── PGPキーの公開 ├── 開示ポリシーの公開 └── 最初のアドバイザリ(必要に応じて) 継続的: ├── 月次セキュリティアップデート ├── 脅威モデルの継続的改善 ├── 定期的な依存関係の監査 └── コミュニティとのエンゲージメント
よくある質問
はい、適切に設定すれば安全です。OpenClawにはデフォルトでセキュリティ制御が有効化されています:
- DMポリシー:デフォルトは
pairing- 不明な送信者は有効期限付きコードによるペアリングフローを完了する必要があります - 実行セキュリティ:デフォルトは
denyでask: on-miss- 危険なコマンドには承認が必要です - AllowFrom:未設定の場合、デフォルトは自分のみ
- Gateway認証:デフォルトで必須
openclaw security audit --deepを実行して設定を確認してください。詳細はdocs.openclaw.ai/gateway/securityをご覧ください。
これらの攻撃手法はすでに公開情報です。論文、ブログ、カンファレンスの講演で文書化されています。オープンに開発することで集合知の恩恵を受け、透明性を通じて信頼を構築し、説明責任を果たします。
自動スキャナーやAIツールから、問題を真に理解することなく理論的な問題にフラグを立てるレポートが寄せられています。報告者に修正案の提案を求めることで、スキャナーのノイズをフィルタリングし、問題を理解した研究者からの実用的なレポートを受け取り、専門家の知見によって修正を加速できます。
ClawHub (clawhub.ai) はセキュリティプログラム全体のスコープに含まれています。脅威モデル、コードレビュー、継続的なモニタリングの対象です。スキルはエージェントのコンテキスト内で実行されるコードであり、サプライチェーンセキュリティは極めて重要です。
すべてのアプリケーションがスコープに含まれます。iOSアプリ、Androidアプリ、macOSデスクトップアプリのすべてがコードレビューの対象となり、脅威モデルに含まれます。スコープ外は一切ありません。
- プルリクエストを通じて脅威モデルに貢献する
- セキュリティラベルが付いたIssuesをレビューしコメントする
- 該当するリポジトリに脆弱性を報告する(不明な場合はsecurity@openclaw.aiへ)
- セキュリティドキュメントの改善に協力する