A2Aセキュア:開発者がオープンクロー・エージェント間の暗号通信を構築した方法

複数のクラウドプロバイダーで複数のOpenClawエージェントを運用しているチームが、AIエージェント間で暗号署名による通信を可能にする軽量メッセージングプロトコル「A2A Secure」を開発しました。
課題
別々のインフラストラクチャ(このケースではAWSとOracle Cloud)で自律エージェントを運用する際、チームはエージェントが安全に連携できる必要がありました。タスクの共有、相互の起動、研究成果の交換などです。従来の共有APIキーは、真に自律的なシステムには不十分だと感じられました。
解決策:Ed25519署名
A2A Secureは各エージェントに独自のEd25519キーペアを割り当てます。すべてのメッセージは暗号的に署名され、受信側はローカルの信頼レジストリ(既知の公開鍵のホワイトリスト)に対して検証します。共有秘密鍵のローテーションも、中央権限も必要ありません。
技術的な実装
- 各エージェントは小さなHTTPサーバーを実行(約200行のPython)
- メッセージは正規化シリアライゼーション+Ed25519署名付きJSONを使用
- OpenClawのハートビートシステムが受信メッセージをチェック
- インスタントウェイク機能により、エージェントはハートビートを待たずに相互に起動可能
- デッドレターキューは、相手エージェントがオフライン時の再試行を処理
本番環境からの学び
2週間の実運用後:
- 鍵管理が最も難しい部分 — 異なるディレクトリの異なるキーペアが混乱を招いた
- 正規化JSONは両側で完全一致が必須 — そうでないと署名が暗黙的に失敗する
- デッドレターキューは不可欠 — ネットワークの不調時に何度もチームを救った
- 保存して取得するパターンは大きなペイロードに最適
このスキルはClawHubで利用可能で、サーバー、クライアント、スキーマドキュメント、信頼レジストリのセットアップが含まれています。
📖 完全なソースを読む: r/openclaw
👀 See Also

Claude Code、取り消し後もログインセッションを継続、ユーザーが2週間のサポート音信不通を報告
Claude Codeのユーザーが、アクセスを取り消した後もセッションログが表示され続け、Anthropicのサポートが2週間応答しないと報告しています。ログには、user:file_upload、user:ccr_inference、user:sessions:claude_codeなどのスコープが含まれていました。

Claude AIのガードレール回避が、ネットワークセキュリティタスクとしてリクエストを構成した際に観察されました。
Redditユーザーが発見したところによると、Claude AIは、リクエストがブロックするためのネットワークセキュリティタスクとして枠組み化された場合、海賊版ドメインリストを提供し、通常の拒否メカニズムを回避します。ユーザーが枠組みの影響を指摘した後、モデルは意図を誤解していたことを認めました。

WebAssemblyによるAIエージェントのサンドボックス化:デフォルトでゼロ権限
Cosmonicは、従来のサンドボックス化(seccomp、bubblewrap)は、AIエージェントに対しては環境権限(ambient authority)の問題があると主張しています。WebAssemblyのケイパビリティベースのモデルは、デフォルトで権限をゼロにし、ファイルシステム、ネットワーク、資格情報に対する明示的なインポートを必要とします。

PythonとGemini Flashを使用したOpenClawコマンドのセキュリティ監視
ユーザーが作成したPythonスクリプトは、OpenClawによって注入されたコマンドを追跡し、Gemini Flashで分析し、Discordウェブフックを通じて異常または不審な活動について通知を送信します。1日あたりのコストは約0.14ドルです。