開発者がOpenClawセキュリティ向けにFirecrackerマイクロVMサンドボックスを構築
r/openclawの開発者は、LLMがローカルで任意のPythonコードを実行させることへの懸念から、OpenClawエージェントを実行するためのセキュリティ重視のサンドボックスを構築しました。このソリューションは、AWS Lambdaを支えるのと同じ技術であるFirecracker microVMを使用しています。
構築の主要な詳細
開発者は最初にNemoClawを試しましたが、8〜16GBのRAMが必要で、依然としてコンテナを使用していたため、セキュリティ要件を満たしていませんでした。Firecrackerベースのソリューションは以下を提供します:
- 各スクリプトは独自のLinuxカーネル分離で実行
- 150ms未満のコールドブート時間
- VMごとに128MBのRAMハード上限
- 明示的に有効にしない限りネットワークアクセスなし
- スクリプト実行完了後にVMが終了
- 隔離環境から出力ストリームが戻る
このシステムは、コードがmicroVMで実行され、出力がホストにストリームバックされ、その後VMが終了するように設計されています。このアプローチは、コンテナベースのセキュリティではなく、カーネルレベルの分離を提供します。
将来の計画
開発者は次にコンピュートプロファイルを構築する予定で、エージェントがタスク要件に基づいて異なるVM構成を要求できるようにします。例えば、pandasを使用したデータ処理には「ヘビー」VMを起動し、単純な数学スクリプトにはデフォルトの小規模構成を使用します。
この投稿では、このレベルの分離がローカルエージェントの使用に実用的か、またはセキュリティ懸念に対する過剰設計かをコミュニティのフィードバックを求めています。
📖 Read the full source: r/openclaw
👀 See Also
pi-governance: OpenClawコーディングエージェント向けRBAC、DLP、監査ログ
pi-governanceは、AIコーディングエージェントとシステムの間に位置し、ツール呼び出しを分類してリスクの高い操作をブロックするプラグインです。bashコマンドのブロック、機密情報やPIIのDLPスキャン、ロールベースのアクセス制御、構造化された監査ログをゼロ設定で提供します。
LLM支援エクスプロイト:AnthropicのMythosプレビューがわずか5日で初のApple M5向け公開macOSカーネルエクスプロイトの構築を支援
AnthropicのMythos Previewを活用し、セキュリティ企業CalifがApple M5シリコン上で初の公開macOSカーネルメモリ破壊エクスプロイトを5日間で構築。Appleが5年かけて開発したMIEハードウェアセキュリティを突破した。
OpenClawユーザーが、エージェントがAPIキーを平文で公開した後、TOTP 2FAを追加
OpenClawユーザーが「Secure Reveal」というセキュリティスキルを作成しました。このスキルは、保存された認証情報を表示する前に、Telegram経由でのTOTP認証を要求します。これは、デモ中にAIエージェントがAPIキーやパスワードを平文で誤って漏洩させたことを受けた対応です。
OpenClawにおけるプライバシー懸念:スキル、SOUL MD、エージェント通信
開発者がOpenClawのアーキテクチャについてプライバシー上の懸念を提起。具体的には、スキルが機密データに無制限にアクセスできること、SOUL MDが書き込み可能であること、エージェントがフィルターなしで情報を共有することなどが指摘されています。