NanoClawのAIエージェント向けセキュリティモデル：コンテナ分離と最小限のコード

信頼できないAIエージェントのためのNanoClawのセキュリティアーキテクチャ

NanoClawブログは、AIエージェントは信頼できない、潜在的に悪意のあるものとして扱われるべきだと主張し、アプリケーションレベルの権限チェックではなく、アーキテクチャ的な封じ込めを提唱しています。このシステムは、エージェントが不正な動作をすることを前提とし、その際の被害を制限することに焦点を当てています。

コアセキュリティとしてのコンテナ分離

NanoClawは、DockerまたはmacOS上のApple Containerを使用して、各エージェントを独自のコンテナ内で実行します。これらのコンテナは一時的であり、呼び出しごとに新しく作成され、その後破棄されます。エージェントは非特権ユーザーとして実行され、明示的にマウントされたディレクトリにのみアクセスできます。これは、OpenClawのデフォルトアプローチ（エージェントがホストマシン上で直接実行され、ほとんどのユーザーが有効にしないオプトインのDockerサンドボックスモードを提供）とは対照的です。

コンテナ境界はOSによって強制される密閉されたセキュリティを提供し、設定に関係なくエージェントが逃げるのを防ぎます。各エージェントは独自のコンテナ、ファイルシステム、Claudeセッション履歴を取得し、異なるデータにアクセスするはずのエージェント間での情報漏洩を防止します。

マウント許可リストとデフォルトの保護

~/.config/nanoclaw/mount-allowlist.jsonにあるマウント許可リストは、防御の深層として機能し、ユーザーが誤って機密パスをマウントするのを防ぎます。.ssh、.gnupg、.aws、.env、private_key、credentialsなどの機密ディレクトリはデフォルトでブロックされます。許可リストはプロジェクトディレクトリの外に存在するため、侵害されたエージェントが自身の権限を変更することはできません。

ホストアプリケーションコードは読み取り専用でマウントされ、エージェントが行ったことがコンテナ破棄後に永続化しないことを保証します。非メイングループはデフォルトで信頼されず、グループメンバーからのプロンプトインジェクションから保護するために、グループ間のメッセージング、タスクスケジューリング、データ閲覧を防止します。

最小限でレビュー可能なコードベース

NanoClawは、意図的に最小限のコードベース（1つのプロセスと少数のファイル）を維持しており、OpenClawの約40万行のコード、53の設定ファイル、70以上の依存関係とは対照的です。このシステムは、セッション管理、メモリ圧縮、その他の機能のために、コンポーネントを再発明する代わりにAnthropicのAgent SDKに大きく依存しています。

この設計により、有能な開発者が半日でコードベース全体をレビューできます。貢献ガイドラインでは、バグ修正、セキュリティ修正、および簡素化のみを受け入れています。新機能はスキル（完全に動作する参照実装を含む指示）を通じて提供され、コーディングエージェントがレビュー後にコードベースにマージします。

各インストールは、所有者の特定のニーズに合わせた数千行のコードになり、脆弱性が通常隠れる複雑さを回避します。