ClamBot: セキュリティのためWASMサンドボックスでLLM生成コードを実行するAIエージェント

ClamBotの機能

ClamBotは、exec()やサブプロセス呼び出しを使用する代わりに、全てのLLM生成コードをWebAssemblyサンドボックス内で実行することで、既存のエージェントフレームワークのセキュリティ問題に対処するAIエージェントフレームワークです。作成者は、ホストマシン上で任意のコードを直接実行するフレームワークを試した後にこれを構築し、LangChainがこのアプローチでCVEを持っている例、AutoGenがサブプロセスでシェルアウトする例、SWE-Agentがモデルからbashコマンドを実行する例を挙げています。

技術的実装

ClamBotは、Wasmtime上でQuickJSを使用するWASMサンドボックスであるamla-sandbox上に構築されています。LLMは、ネットワークアクセスがゼロのメモリ分離されたサンドボックス内で実行されるJavaScriptコードを記述します。全てのツール呼び出し（HTTP、ファイルシステム、cron）は、Python側の承認ゲートを通過する必要があります。DockerやVMは不要で、単一のバイナリとして実行されます。

主な機能

• サンドボックスセキュリティ: 全てのコードはWASM内で実行 - ホストメモリやネットワークに触れることはできません
• 承認ゲート: 全てのツール呼び出しにSHA-256フィンガープリント承認ゲートを実装（例：「api.coinbase.comに対するweb_fetchを許可」などの事前承認パターン）
• Clam再利用: 成功したスクリプトは「clams」として保存され再利用可能で、繰り返しリクエストのAPIコストを削減します
• マルチプロバイダーサポート: OpenRouter、Anthropic、OpenAI、Gemini、DeepSeek、Groq、Ollama
• Telegram統合: インライン承認ボタン付きTelegramボット
• 追加機能: 永続メモリ、cronスケジューリング、プライベートIPをブロックするSSRF保護、シークレットがログ/ツール引数/トレースに表示されない

ワークフローの例

ユーザーが「binanceのトップムーバーは何ですか？」と尋ねます。サンドボックスがJavaScriptを実行 → Binance APIへのhttp_requestを作成 → 承認ゲートを通過 → 結果を返します。ボットは、24時間変化率によるBinanceのトップ10ムーバーで応答します。

はじめに

bash git clone https://github.com/clamguy/clambot.git
cd clambot
uv run clambot onboard
uv run clambot agent

スタックと規模

このプロジェクトはPython + QuickJS/Wasmtimeで構築され、約10K行のコードを含み、OpenClawとnanobotに触発されました。作成者は「自分のサーバーで実際に信頼できるAIエージェントが欲しかった」ためにこれを構築しました。