カスタムAIエージェント向けのOpenClawコンポーネント抽出のセキュリティ分析

開発者が、OpenClawのどのコンポーネントをシステム全体を実行せずにカスタムAIエージェントスタックで安全に抽出できるかについて、詳細なセキュリティ分析を公開しました。この分析は、メモリ検索、ブラウザ自動化、タスクキュー機能などのコンポーネントに焦点を当てています。

セキュリティ評価手法

開発者はLethal Quartetフレームワーク（Willison/Palo Alto Networks）を使用し、各コンポーネントを4つの基準で評価しました：プライベートデータへのアクセス、信頼されていないコンテンツの処理、外部との通信、状態の永続化の有無です。

コンポーネントのセキュリティ評価

• Lane Queue (0/4)：I/Oを一切行わない純粋なロジック。完全に安全に抽出可能。2つのファイルで3つのインポートを交換する必要があります。
• Workspace Config (2/4)：フォーマット自体は無害ですが、memory.mdが設定ファイルと書き込み対象の両方として機能するため、メモリ汚染攻撃の可能性があります。
• Memory System (3/4)：すべてをプレーンテキストで永続化。memsearchの抽出では10の本番機能が見落とされていました。
• Semantic Snapshots (4/4)：完全な脅威ベクトル。BrowserClawはこのコンポーネントを抽出しましたが、すべてのセキュリティラッピングを削除しています。

重大なセキュリティ発見

Semantic Snapshotsの4/4評価は最も懸念すべき発見です。OpenClawはすべてのブラウザ出力をランダム化された境界マーカーでラップし、LLMが信頼できるコンテンツと信頼できないコンテンツを区別できるようにしています。しかし、BrowserClaw、agent-browser、moltworkerはすべて、コンポーネントを抽出する際にこのセキュリティ機能を削除しています。

スタンドアロン抽出のいずれにも、コンテンツラッピングの形式は含まれていません。これは、すべてのページスナップショットが生のテキストとしてLLMコンテキストに入力されることを意味し、プロンプトインジェクションの表面積が大幅に増加します。

BrowserClaw自体はスクリーンショットと比較して90%のトークン節約を実現し、本番環境で実証済みですが、ラッピングなしで抽出することのセキュリティ的影響は重大です。

利用可能なリソース

開発者は各コンポーネントについて、抽出レシピ、依存関係マップ、抽出時の問題点、フレームワーク統合パターン（LangGraph/AutoGen/CrewAI/SK）、具体的な緩和策を含む詳細なプロファイルを作成しました。これらは以下で利用可能です：https://github.com/Agent-Trinity/openclaw-block-profiles