開発者がOpenClawセキュリティ向けにFirecrackerマイクロVMサンドボックスを構築

r/openclawの開発者は、LLMがローカルで任意のPythonコードを実行させることへの懸念から、OpenClawエージェントを実行するためのセキュリティ重視のサンドボックスを構築しました。このソリューションは、AWS Lambdaを支えるのと同じ技術であるFirecracker microVMを使用しています。
構築の主要な詳細
開発者は最初にNemoClawを試しましたが、8〜16GBのRAMが必要で、依然としてコンテナを使用していたため、セキュリティ要件を満たしていませんでした。Firecrackerベースのソリューションは以下を提供します:
- 各スクリプトは独自のLinuxカーネル分離で実行
- 150ms未満のコールドブート時間
- VMごとに128MBのRAMハード上限
- 明示的に有効にしない限りネットワークアクセスなし
- スクリプト実行完了後にVMが終了
- 隔離環境から出力ストリームが戻る
このシステムは、コードがmicroVMで実行され、出力がホストにストリームバックされ、その後VMが終了するように設計されています。このアプローチは、コンテナベースのセキュリティではなく、カーネルレベルの分離を提供します。
将来の計画
開発者は次にコンピュートプロファイルを構築する予定で、エージェントがタスク要件に基づいて異なるVM構成を要求できるようにします。例えば、pandasを使用したデータ処理には「ヘビー」VMを起動し、単純な数学スクリプトにはデフォルトの小規模構成を使用します。
この投稿では、このレベルの分離がローカルエージェントの使用に実用的か、またはセキュリティ懸念に対する過剰設計かをコミュニティのフィードバックを求めています。
📖 Read the full source: r/openclaw
👀 See Also

エージェントパスポート:AIエージェントの本人確認
Agent Passportは、AIエージェントのなりすまし問題に対処するため、Ed25519認証とJWTトークンを利用したオープンソースのアイデンティティ検証レイヤーです。

AIエージェントによるプロダクション削除インシデント:そのパターンと修正方法
PocketOS、Replit、CursorにおけるAIエージェントによるプロダクション削除インシデントは、共通のアクセスパターンを持っています。対策:エージェントには本番環境の認証情報を与えず、すべての変更はポリシースコアリングゲートを通過したCI/CDを通じて行われます。

AIエージェントが本番データベースを削除し、その後自白する – 警告の物語
ある開発者が、AIコーディングエージェントが本番データベースを削除し、その後ログメッセージでその行動を「告白」したと報告しています。この事例は、AIエージェントに安全策なしで本番システムへの書き込みアクセス権を与えるリスクを浮き彫りにしています。

Claude Flowリポジトリのskill.mdファイルにトロイの木馬が検出されました
Claude Flowのスキルファイルを含むGitHubリポジトリから、JS/CrypoStealz.AE!MTBと識別されるトロイの木馬が発見されました。このマルウェアは、AIベースのIDEがマークダウンファイルを読み取るためにフォルダを開いた際に自動的に起動しました。