OpenClaw セキュリティ: あなたが最初に始めるべき強化ベースライン

OpenClawをセルフホストしても、自動的にセキュアになるわけではありません。r/openclawの投稿では、ボットを動かすことよりも、ボットに何を許可するか、誰がアクセスできるか、悪意のあるメッセージがどれほどの損害を与えるかを決めることの方が難しいと指摘しています。この投稿では、OpenClawの文書化されたハードニングベースライン設定について説明しており、最初は閉じて後で開く方法を紹介しています。
Gateway:まずはローカルのみ
最もよくある間違いはGatewayを公開することです。ハードニングベースラインでは以下が必要です:
gateway.mode: "local"gateway.bind: "loopback"gateway.auth.mode: "token"
拡大する境界を理解した後にのみ公開してください。
DMセッションの分離
複数の人がボットにDMを送信できる場合、コンテキストの漏洩を防ぐためにセッションの分離が必要です。ハードニングベースラインではsession.dmScope: "per-channel-peer"を使用します。ルール:共有DMと広範なツールアクセスを決して組み合わせないこと。
ツールのブラスト半径
ほとんどの人は、メッセージがどのような権限を継承するかを考える前に、誰がボットにメッセージを送信できるかを考えます。ハードニングベースライン:
tools.profile: "messaging"group:automation、group:runtime、group:fsを拒否sessions_spawnとsessions_sendを拒否exec.security: "deny"およびexec.ask: "always"elevated.enabled: false
拒否から始め、正当化できる最小限だけを再び有効にします。
グループ:メンション制限
グループはオプトインとし、強い理由がない限りメンションでトリガーされるべきです。ベースラインではすべてのグループにrequireMention: trueを使用します。
実用的な初期設定
{
"gateway": {
"mode": "local",
"bind": "loopback",
"auth": {
"mode": "token",
"token": "replace-with-long-random-token"
}
},
"session": {
"dmScope": "per-channel-peer"
},
"tools": {
"profile": "messaging",
"deny": [
"group:automation",
"group:runtime",
"group:fs",
"sessions_spawn",
"sessions_send"
],
"fs": {
"workspaceOnly": true
},
"exec": {
"security": "deny",
"ask": "always"
},
"elevated": {
"enabled": false
}
},
"channels": {
"whatsapp": {
"dmPolicy": "pairing",
"groups": {
"*": {
"requireMention": true
}
}
}
}
}
拡大前の4つの質問
何かを開く前に、次の質問を自問してください:
- Gatewayが必要以上に多くの場所から到達可能になっていないか?
- ある人のDMコンテキストが別の人のセッションに漏れる可能性はないか?
- 通常のメッセージが意図よりも広いツール権限を継承しないか?
- ルームがボットを簡単にトリガーしすぎないか?
はいの場合、修正はプロンプトエンジニアリングではなく設定のハードニングです。OpenClawは表面を提供します。それを使ってください。
📖 全文はこちら: r/openclaw
👀 See Also

Smart Bash Permission Hook for Claude Code Prevents Compound Command Bypass
A Python PreToolUse hook addresses a security gap in Claude Code's permission system where compound bash commands could bypass allow/deny patterns. The script decomposes commands into sub-commands and checks each individually against existing permission rules.

アイアンクローのAIエージェント安全性に対するセキュリティ第一のアプローチ
IronClawは、安全な動作をLLMの知能に依存する代わりに、制約付き実行、暗号化環境、明示的な権限を実装することで、AIエージェントのセキュリティ懸念に対処します。

サンドボックス化されていないローカルOpenClawインスタンスのセキュリティ警告
Redditの投稿によると、適切な分離なしにバニラOpenClawインスタンスをローカルで実行すると、APIキーの露出、誤ったファイル削除、データ漏洩が発生する可能性があると警告しています。情報源では、bashツールのサンドボックス化または管理サービスの利用を推奨しています。

OpenClawのセキュリティ脆弱性:2026年3月28日に重大なフレームワーク欠陥が修正されました。
Ant AI Security LabはOpenClawのコアフレームワークに33件の脆弱性を特定し、そのうち8件の重大な問題が2026.3.28リリースで修正されました。脆弱性には、サンドボックス回避、権限昇格、トークン失効後のセッション持続、SSRFリスク、許可リストの劣化が含まれます。