社内ポータル

report

5 min read

OpenClaw セキュリティ設定ベストプラクティス・ブリーフィングレポート

1. OpenClawのセキュリティリスク概要

OpenClawはContaboやDigitalOceanなどのクラウド基盤において、ワンクリックセットアップやApp Platformテンプレートで導入が可能になり、急速に普及しています。しかし、それに伴いセキュリティリスクも高まっており、現在オンライン上に42,665以上のインスタンスが公開されている状態です。さらに、悪意のある「ClawdBot Agent」というVS Code拡張機能がマルウェアを配布した事例や、Cline CLI(v2.3.0)のサプライチェーン攻撃によって開発者のシステムにOpenClawがインストールされたケースも報告されています。

2. 重大な脆弱性(CVE一覧)

OpenClawでは直近で複数の重大な脆弱性が発見されていますが、パッチが提供されています。

CVE / ID種別修正バージョン
CVE-2026-25253(ClawJacked)WebSocketハイジャック → RCEv2026.1.29
GHSA-h9g4-589h-68xvサンドボックスブラウザブリッジ認証バイパスv2026.2.14
CVE-2026-26326skills.statusエンドポイント情報漏洩v2026.2.14
その他複数のRCEコマンドインジェクション等v2026.1.20 ~ v2026.2.14

3. サンドボックス・隔離設定

  • プライマリシステム上では絶対に実行せず、必ずDockerコンテナまたはVMで実行する
  • Dockerの場合:読み取り専用ファイルシステム、不要権限削除、非root実行
  • seccompプロファイルを設定する
  • 厳格なサンドボックス化:openclaw security plugin set sandbox strict
  • ゲートウェイはローカルホスト(127.0.0.1:18789)にバインド

4. 認証・アクセス制御

  • ゲートウェイトークン認証を有効化
  • ツールアクセスは許可リスト(allowlist)ベースで管理
  • system.runやシェルツールなどの危険なコマンドは無効化
  • ユーザーIDの許可リスト化、読取/書込権限の分離
  • 短い有効期限(Short-lived)のクレデンシャルを利用し、定期ローテーション
  • コントロールプレーンはVPN/SSHトンネルなしで公開しない

5. クレデンシャル管理

  • APIキーをプレーンテキストの設定ファイルに保存することは厳禁
  • 環境変数、またはHashiCorp Vault / AWS Secrets Managerで管理
  • LLMプロバイダーアカウントに利用限度額(Spending limits)を設定
  • 最小権限の専用アカウントを作成
  • 定期的なクレデンシャルローテーション

6. プロンプトインジェクション対策

  • 永続メモリはプロンプトインジェクションのリスクを増幅させる
  • メールやドキュメントに仕込まれた悪意ある指示が時間差攻撃を引き起こす可能性あり
  • すべての入力をサニタイズし、出力フォーマットを検証
  • システムプロンプトとユーザープロンプトを分離

⚠️ Rule of Two(2つのルールの原則)

エージェントには以下の3つの能力を同時に持たせてはいけない

  1. 信頼できない入力の処理
  2. 機密データやクレデンシャルへのアクセス
  3. 自律的なアクションの実行

3つ全てが必要な場合は、必ず人間の承認プロセスを組み込むこと。

7. スキル・プラグイン管理

  • ClawHubからのスキルはインストール前にすべて監査
  • サードパーティ製スキルのソースコードは必ずレビュー
  • スキルは「信頼できないコード」として扱う
  • 悪意あるスキルによるクレデンシャル窃取事例が報告済み

8. ネットワークセキュリティ

  • 厳格なファイアウォールルールを導入、不要ポートは全て閉鎖
  • アウトバウンド接続はホワイトリスト方式で制限
  • リモートアクセスにはSSHトンネルまたはVPNを利用
  • AI環境用のネットワークセグメンテーション(分割)を実施

9. 監視・ログ

  • エージェント全アクションの包括的ログ出力を有効化
  • ログは隔離された安全なシステムへ転送
  • API呼び出し、ファイルアクセス、コマンド実行を追跡
  • キルスイッチを実装(暴走エージェント即停止用)
  • 定期的なセキュリティ監査とペネトレーションテスト

10. セキュリティフレームワーク

フレームワーク概要
OWASP Agentic AI ThreatsAIエージェント脅威の体系的分類
Agentic AI Security Scoping Matrixセキュリティスコープ評価マトリクス
ATFAA自律型AIエージェント向け高度脅威フレームワーク
MAESTROマルチエージェント環境のリスク評価
NIST AI RMFAIリスク管理フレームワーク
EU AI Act欧州AI法(2025-2026年施行対応)

11. 必須対策チェックリスト

  • 最新バージョン(v2026.2.25以降)へ即座にアップデート
  • プライマリシステム上ではなく、Docker/VM環境で実行
  • ゲートウェイ認証を有効にする
  • バインド先をlocalhost(127.0.0.1)のみに限定
  • シークレット情報の管理に環境変数を利用
  • インストール済みのすべてのスキルを監査
  • 包括的なロギングシステムを構築・設定
  • 厳格なファイアウォールルールを設定
  • root以外の専用ユーザー権限で実行
  • LLMプロバイダー側で利用限度額を設定

グラフビュー