A2Aセキュア:開発者がオープンクロー・エージェント間の暗号通信を構築した方法
複数のクラウドプロバイダーで複数のOpenClawエージェントを運用しているチームが、AIエージェント間で暗号署名による通信を可能にする軽量メッセージングプロトコル「A2A Secure」を開発しました。
課題
別々のインフラストラクチャ(このケースではAWSとOracle Cloud)で自律エージェントを運用する際、チームはエージェントが安全に連携できる必要がありました。タスクの共有、相互の起動、研究成果の交換などです。従来の共有APIキーは、真に自律的なシステムには不十分だと感じられました。
解決策:Ed25519署名
A2A Secureは各エージェントに独自のEd25519キーペアを割り当てます。すべてのメッセージは暗号的に署名され、受信側はローカルの信頼レジストリ(既知の公開鍵のホワイトリスト)に対して検証します。共有秘密鍵のローテーションも、中央権限も必要ありません。
技術的な実装
- 各エージェントは小さなHTTPサーバーを実行(約200行のPython)
- メッセージは正規化シリアライゼーション+Ed25519署名付きJSONを使用
- OpenClawのハートビートシステムが受信メッセージをチェック
- インスタントウェイク機能により、エージェントはハートビートを待たずに相互に起動可能
- デッドレターキューは、相手エージェントがオフライン時の再試行を処理
本番環境からの学び
2週間の実運用後:
- 鍵管理が最も難しい部分 — 異なるディレクトリの異なるキーペアが混乱を招いた
- 正規化JSONは両側で完全一致が必須 — そうでないと署名が暗黙的に失敗する
- デッドレターキューは不可欠 — ネットワークの不調時に何度もチームを救った
- 保存して取得するパターンは大きなペイロードに最適
このスキルはClawHubで利用可能で、サーバー、クライアント、スキーマドキュメント、信頼レジストリのセットアップが含まれています。
📖 完全なソースを読む: r/openclaw
👀 See Also
OpenClawユーザーが、エージェントがAPIキーを平文で公開した後、TOTP 2FAを追加
OpenClawユーザーが「Secure Reveal」というセキュリティスキルを作成しました。このスキルは、保存された認証情報を表示する前に、Telegram経由でのTOTP認証を要求します。これは、デモ中にAIエージェントがAPIキーやパスワードを平文で誤って漏洩させたことを受けた対応です。
RedditユーザーがOpenClaw VMの永続性と不審な活動を報告
Redditユーザーが、OpenClaw仮想マシンが閉じた後に自動的に再起動し、Microsoft Storeを開いたり疑わしいファイルのダウンロードを試みるなど、不審な動作を示していると報告しています。
Claudeを使用してOpenClawのセットアップを監査すると、セキュリティ上の問題が明らかになります
ある開発者がClaudeを利用してOpenClawのインストールをレビューしたところ、ボットがAPIキーをメモリ内やJSONファイルに平文で書き込んでいることや、その他のセキュリティ上の懸念を発見しました。
Google脅威インテリジェンスグループ、二要素認証を突破する初のAI開発ゼロデイエクスプロイトを報告
Google Threat Intelligence Groupは、人気のあるオープンソースのWebベースシステム管理ツールにおいて、2要素認証を回避する初の完全AI開発ゼロデイエクスプロイトを、自己変形マルウェアやGeminiを利用したバックドアと共に検出しました。