NanoClawのAIエージェント向けセキュリティモデル:コンテナ分離と最小限のコード

信頼できないAIエージェントのためのNanoClawのセキュリティアーキテクチャ
NanoClawブログは、AIエージェントは信頼できない、潜在的に悪意のあるものとして扱われるべきだと主張し、アプリケーションレベルの権限チェックではなく、アーキテクチャ的な封じ込めを提唱しています。このシステムは、エージェントが不正な動作をすることを前提とし、その際の被害を制限することに焦点を当てています。
コアセキュリティとしてのコンテナ分離
NanoClawは、DockerまたはmacOS上のApple Containerを使用して、各エージェントを独自のコンテナ内で実行します。これらのコンテナは一時的であり、呼び出しごとに新しく作成され、その後破棄されます。エージェントは非特権ユーザーとして実行され、明示的にマウントされたディレクトリにのみアクセスできます。これは、OpenClawのデフォルトアプローチ(エージェントがホストマシン上で直接実行され、ほとんどのユーザーが有効にしないオプトインのDockerサンドボックスモードを提供)とは対照的です。
コンテナ境界はOSによって強制される密閉されたセキュリティを提供し、設定に関係なくエージェントが逃げるのを防ぎます。各エージェントは独自のコンテナ、ファイルシステム、Claudeセッション履歴を取得し、異なるデータにアクセスするはずのエージェント間での情報漏洩を防止します。
マウント許可リストとデフォルトの保護
~/.config/nanoclaw/mount-allowlist.jsonにあるマウント許可リストは、防御の深層として機能し、ユーザーが誤って機密パスをマウントするのを防ぎます。.ssh、.gnupg、.aws、.env、private_key、credentialsなどの機密ディレクトリはデフォルトでブロックされます。許可リストはプロジェクトディレクトリの外に存在するため、侵害されたエージェントが自身の権限を変更することはできません。
ホストアプリケーションコードは読み取り専用でマウントされ、エージェントが行ったことがコンテナ破棄後に永続化しないことを保証します。非メイングループはデフォルトで信頼されず、グループメンバーからのプロンプトインジェクションから保護するために、グループ間のメッセージング、タスクスケジューリング、データ閲覧を防止します。
最小限でレビュー可能なコードベース
NanoClawは、意図的に最小限のコードベース(1つのプロセスと少数のファイル)を維持しており、OpenClawの約40万行のコード、53の設定ファイル、70以上の依存関係とは対照的です。このシステムは、セッション管理、メモリ圧縮、その他の機能のために、コンポーネントを再発明する代わりにAnthropicのAgent SDKに大きく依存しています。
この設計により、有能な開発者が半日でコードベース全体をレビューできます。貢献ガイドラインでは、バグ修正、セキュリティ修正、および簡素化のみを受け入れています。新機能はスキル(完全に動作する参照実装を含む指示)を通じて提供され、コーディングエージェントがレビュー後にコードベースにマージします。
各インストールは、所有者の特定のニーズに合わせた数千行のコードになり、脆弱性が通常隠れる複雑さを回避します。
📖 完全なソースを読む: HN LLM Tools
👀 See Also

OpenClaw、/pair承認パスにおける重大な権限昇格を修正
OpenClaw 2026.3.28は、/pair approveコマンドにおいて、ペアリング権限を持つユーザーが、管理者アクセスを含む広範なスコープのデバイスリクエストを承認できるという重大なセキュリティ脆弱性(GHSA-hc5h-pmr3-3497)を修正しました。影響を受けるバージョンは <= 2026.3.24です。

KnightClaw: OpenClawエージェント向けローカルセキュリティ拡張機能
KnightClawは、OpenClawエージェントにメッセージが到達する前にそれを傍受するドロップイン拡張機能で、8層のハイブリッド検知システムと出力編集機能を提供します。完全にローカルで動作し、テレメトリーは一切なく、MITライセンスで提供されています。

AIエージェントのセキュリティ分析により、信頼モデルの破綻と高い脆弱性率が明らかに
AIエージェントのセキュリティ分析により、基本的な信頼モデルが破綻していることが示された。MCPパッケージの49%にセキュリティ上の問題があり、間接的インジェクション攻撃は最先端モデルに対して36〜98%の攻撃成功率を達成している。

セキュリティ監査により、AnthropicのMCP参照サーバーに脆弱性が発見され、幻覚ベースの脆弱性が導入される可能性が判明
100のMCPサーバーパッケージに対するセキュリティ監査では、71%がF評価を獲得し、Anthropicの公式GitHubおよびファイルシステムリファレンス実装も含まれていました。監査では、推論ループを通じてセキュリティホールを作り出し、トークンを浪費する「幻覚ベースの脆弱性」が特定されました。