OpenClawセキュリティ：AIエージェントを保護する13の実践的ステップ

r/clawdbotからの詳細なReddit投稿では、OpenClaw AIエージェントのデプロイメントを強化するための13の具体的なセキュリティ推奨事項が提供されています。この投稿は、多くのユーザーがデフォルト設定でOpenClawをローカルで実行しており、ファイル、API、システムコマンドが潜在的な侵害にさらされていることを強調しています。

主なセキュリティ対策

• 別のマシン: 個人のラップトップではなく、月額5ドルのVPS（Hetzner、DigitalOcean、Linode）または予備のマシンでOpenClawを実行します。
• 非rootユーザー: rootとして実行する代わりに、権限が制限された専用ユーザーを作成します。
• デフォルトポートの変更: デフォルトのポート8080から、10000から65535の間のランダムな番号に切り替えます。
• Tailscaleのインストール: Tailscaleを使用してサーバーをインターネットから見えないようにし、承認されたデバイスのみが接続できるようにします。
• SSHキーとFail2ban: パスワードログインを無効にし、SSHキーのみを使用し、fail2banをインストールして、3回のログイン試行失敗後にIPを24時間禁止します。
• UFWによるファイアウォール: 不要なポートをすべて閉じます。Tailscaleを使用する場合、SSHのみがアクセス可能であれば十分です。
• ユーザー許可リスト: OpenClawを特定のTelegramアカウントにのみ応答するように設定します。他のアカウントには応答しません。
• 自己監査: ボットに「自身のセキュリティ設定を監査し、修正が必要な点を教えてください」と尋ねます。体系的なチェックには、Adversa AIによるオープンソースプラグインであるSecureClawを使用します。これはOpenClawのインストールに対して55の自動化されたセキュリティチェックを実行します。
• リアルタイムアラート: ログイン失敗、設定変更、または新しいSSH接続のアラートを設定します。
• DMのみ: ボットのアクセスをダイレクトメッセージのみに制限します。グループアクセスが必要な場合は、権限が制限された別のインスタンスを実行します。
• Dockerサンドボックス化: 設定でagents.defaults.sandbox: trueを設定することで、サブエージェントをDockerコンテナ内で実行します。これにより、ツールの実行が分離され、プロンプトインジェクション攻撃を防ぎます。ClawHubのサードパーティスキルを実行する前に検証します。
• 毎日のセキュリティ監査Cron: 設定のずれや偶発的なポート開放を検出するために、毎日完全なセキュリティ監査を実行するcronジョブを設定します。
• 最新の状態を維持: OpenClawの更新を維持するか、DevOpsタスクを処理したくない場合はStartClawなどの管理サービスを使用します。

この投稿は、Dockerサンドボックス化を最も重要なステップとして位置づけており、適切な分離がなければ、サブエージェントがウェブページを閲覧する際にプロンプトインジェクション攻撃によって騙される可能性があると指摘しています。