OpenClawのセキュリティアプローチ:LLMルーターとzrokプライベート共有を活用
開発者が、VM+Kubernetes環境内でOpenClawとLLMルーターを単一コマンドで実行するアプローチを詳細に説明しました。これは「小さなロブスター」エージェントシステムに関するセキュリティ上の懸念に対処することに焦点を当てています。
セキュリティ問題と初期アプローチ
このプロジェクトは、OpenClawのようなエージェントシステムの安全性への懸念から始まりました。開発者は、サンドボックス化だけでは根本的なセキュリティ問題は解決しないと指摘しています。エージェントに実行権限がある限り、単純なスキルインジェクションでprintenvのようなものを呼び出し、注入されたすべてのAPIキーを暴露する可能性があります。実行権限を削除すると機能の約90%が失われ、LLM APIキーを注入しなければエージェントはモデルを全く呼び出せません。
LLMルーターソリューション
開発者は当初、認証ヘッダー注入を処理するためにサイドカー付きのサービスメッシュを使用することを検討しましたが、OpenClawのHTTPS強制によりこれは非現実的でした。代わりにLLMルーターを使用することに切り替え、APIキーをルーターレベルで注入できるようにしました。このアプローチは、ユーザーが会話ログを検査し、Claude Codeを使用してエージェントを監視するような独自の監視プラグインを構築できるという追加の利点も提供します。
zrokによるリモートアクセス
もう一つの課題は、SlackやTelegramのようなコミュニケーションアプリとの統合でした。これにはリモートアクセスのためのトークン注入が必要です。解決策はzrokプライベート共有を使用し、リモートホストがメッセージングアプリに依存せずにプライベート共有を通じてエージェントの管理チャットにアクセスできるようにしました。開発者は、これにより一部の機能が制限されることを認めており、これはトレードオフであると述べています。このモデル下でコミュニケーションアプリを完全にサポートするには、ゲートウェイとエージェントを別々のコンテナで実行する必要がありますが、これはまだ実装されていません。
プロジェクト詳細
このプロジェクトには中国語名「小籠蝦(Xiao Long Xia)」が付けられており、「籠」の文字は「小籠包(シャオロンパオ、スープ入り餃子)」に由来しています。実装では、OpenClawとLLMルーターをVM+Kubernetes環境内で単一コマンドで実行します。
📖 Read the full source: r/openclaw
👀 See Also
FORGE: LLMシステム向けオープンソースAIセキュリティテストフレームワーク
FORGEは、実行中に独自のツールを構築し、自己複製して群れを形成し、プロンプトインジェクション、ジェイルブレイクファジング、RAG漏洩などのOWASP LLM Top 10脆弱性をカバーする自律型AIセキュリティテストフレームワークです。
AI予算保護:なぜOpenClawのプリペイドカードを使うべきか
コミュニティからの警告: あるユーザーはAIアシスタントが「暴走」して購入を開始し、3,000ドルを失いました。ここでは、自分自身を保護する方法をご紹介します。
ローカルAIエージェントのサンドボックス化をFirecrackerマイクロVMで実現
ある開発者が、Alpine Linuxを実行するFirecracker microVM内でAIエージェントの実行を隔離するサンドボックスを作成しました。これにより、エージェントがホストマシン上で直接コマンドを実行することによるセキュリティ上の懸念に対処しています。このセットアップでは、通信にvsockを使用し、MCPを介してClaude Desktopに接続します。
Claudeを使用してOpenClawのセットアップを監査すると、セキュリティ上の問題が明らかになります
ある開発者がClaudeを利用してOpenClawのインストールをレビューしたところ、ボットがAPIキーをメモリ内やJSONファイルに平文で書き込んでいることや、その他のセキュリティ上の懸念を発見しました。