FastAPI Guardを使用して、OpenClawインスタンスを攻撃から保護します。

✍️ OpenClawRadar📅 公開日: March 14, 2026🔗 Source
FastAPI Guardを使用して、OpenClawインスタンスを攻撃から保護します。
Ad

OpenClawのセキュリティ状況

最近の報告によると、OpenClawインスタンスは重大なセキュリティ脅威に直面しています。セキュリティ監査により、コードベース全体で512の脆弱性(うち8件は重大)が発見され、40,000以上の公開インスタンスのうち60%が即座に乗っ取られる可能性があることが明らかになりました。ClawJacked脆弱性(CVE-2026-25253)は、localhostの信頼性前提を悪用してWebSocket経由でウェブサイトをハイジャックすることを可能にします。さらに、ClawHubには820以上の悪意のあるスキルが存在します。

実世界の監視では、典型的なOpenClawインスタンスが毎日数千件の攻撃を受けており、中国IP、Baiduクローラー、DigitalOceanスキャナー、パストラバーサルを試みるボット、.envファイルの探索、ログインのブルートフォース攻撃などが含まれています。

FastAPI Guardのソリューション

FastAPI Guardは、リクエストがOpenClawエンドポイントに到達する前にセキュリティ層を追加するミドルウェアです。OpenClawはFastAPI上で動作する(またはAPIゲートウェイ経由で可能な)ため、統合は簡単です:

from guard import SecurityMiddleware, SecurityConfig

config = SecurityConfig( blocked_countries=["CN", "RU"], blocked_user_agents=["Baiduspider", "SemrushBot", "AhrefsBot"], block_cloud_providers={"AWS", "GCP", "Azure"}, rate_limit=100, rate_limit_window=60, auto_ban_threshold=10, auto_ban_duration=3600, enable_penetration_detection=True, whitelist=["YOUR_IP_HERE"], )

app.add_middleware(SecurityMiddleware, config=config)

Ad

主要なセキュリティ機能

  • blocked_countries:特定の国からの数千件の攻撃を排除できる地域ブロック
  • blocked_user_agents:既知のクローラーやボットがアプリケーションコードに到達する前にブロック
  • block_cloud_providers:クラウドIP範囲を自動的に取得・キャッシュしてスキャナーファームをブロック
  • auto_ban_threshold:10回の違反後にIPを禁止
  • penetration detection:追加設定なしで.env、/etc/passwdなどのパストラバーサル探索を検出
  • emergency modeemergency_mode=True, emergency_whitelist=["YOUR_IP", "YOUR_TEAM_IP"] 明示的に許可されたIP以外をすべてブロック
  • trusted_proxies:リバースプロキシ設定用の構成で、実際のクライアントIPを正しく抽出

デコレーターによるルート別セキュリティ

デコレーターシステムにより、特定のルートに異なるセキュリティ設定を適用できます:

from guard.decorators import SecurityDecorator

guard_decorator = SecurityDecorator(config)

@app.get("/api/admin") @guard_decorator.require_ip(whitelist=["10.0.0.0/8"]) @guard_decorator.block_countries(["CN", "RU", "KP"]) async def admin(): return {"status": "ok"}

これにより、使用パターンの監視、機密性の高いエンドポイントでの特定の国のブロック、管理者パスでの認証要求が可能になり、静的ファイアウォールルールでは提供できない機能を実現します。

追加機能

  • Redisサポート:マルチインスタンス展開用に内蔵され、レート制限、IP禁止、クラウドIP範囲の自動同期を提供
  • Flaskサポート:flaskapi-guardがFlaskベースのエージェントインフラ向けに同じ検出エンジンを提供
  • ユースケース:OpenClaw以外にも、リモートチーム向けの公開APIが必要だが他のアクセスをすべてブロックするスタートアップ、勝利条件を強制するゲームプラットフォーム、悪意のあるボットを記録・禁止するハニーポットトラップで使用

📖 Read the full source: r/openclaw

Ad

👀 See Also

ClaudeコードプラグインのバグがCPU使用率の急上昇とバッテリー消耗を引き起こす
Security

ClaudeコードプラグインのバグがCPU使用率の急上昇とバッテリー消耗を引き起こす

ユーザーが発見したところによると、Claude CodeのTelegramプラグインは、ラップトップの蓋が閉じている状態でも100%CPUで動作する複数のbun.exeプロセスを生成し、急速なバッテリー消耗を引き起こすことが判明しました。これらのプロセスはスリープ/復帰サイクルを生き延び、削除には特定のクリーンアップ手順が必要です。

OpenClawRadar
OpenClawスキル安全スキャナー:31,371スキルのうち7.6%が危険と判定されました
Security

OpenClawスキル安全スキャナー:31,371スキルのうち7.6%が危険と判定されました

開発者がClawHubレジストリ全体をスキャンするツールを構築し、31,371のスキルのうち2,371個がウォレットドレイナー、認証情報窃取、プロンプトインジェクションなどの危険なパターンを含んでいることを発見しました。このツールは、インストール前にスキルをチェックするためのAPIアクセスとバッジを提供します。

OpenClawRadar
新スキルがリモートサーバーでのOpenClawセキュリティ強化を自動化
Security

新スキルがリモートサーバーでのOpenClawセキュリティ強化を自動化

コミュニティ開発者が、リモートサーバー上のOpenClawインストールをAIアシスタントが自動的に保護するのに役立つスキルをリリースしました。

OpenClaw Radar
Claude AI生成アプリケーションのためのセキュリティチェックリスト
Security

Claude AI生成アプリケーションのためのセキュリティチェックリスト

開発者が、レート制限、認証の欠陥、データベースのスケーリング問題、入力処理の脆弱性など、Claude Codeで構築されたアプリケーションで見つかる一般的なセキュリティと運用上のギャップのチェックリストを共有しています。

OpenClawRadar