OpenClaw Slackセキュリティ：APIキー漏洩のリスクと対策

OpenClaw Slackのセキュリティ脆弱性

r/openclawのReddit投稿では、OpenClaw Slackの設定が誤って機密性の高いAPIキーやトークンを公開してしまう可能性について詳述されています。投稿者は、Anthropic APIキーが11日間にわたりSlackチャンネルのエラーメッセージを通じて漏洩していたことに気づきました。

公開が発生する仕組み

具体的な脆弱性は、エージェントがレート制限に達した際に、エラーハンドラーが完全なトレースバックをSlackチャンネルにダンプすることで発生しました。そのトレースバック内には、環境変数からのAPIキーが埋め込まれており、そのチャンネルにいる誰でも閲覧可能でした。

確認すべき3つの重要な領域

1. SOUL.mdのエラーハンドリング

エージェントのシステムプロンプトが機密データを出力しないよう明示的に指示していない場合、エージェントはそれを避けることを知りません。システムプロンプトに以下の行を追加してください：

APIキー、トークン、パスワード、環境変数をレスポンスに含めないでください。エラーに機密データが含まれている場合は、機密部分を除いてエラーを要約してください。

2. チャンネル権限

OpenClawのデフォルトのSlack設定では、ボットは招待されたすべてのチャンネルにアクセスできます。多くのユーザーはテストのために最初に#generalに招待し、その後削除を忘れてしまうため、エージェントは参加しているすべてのチャンネルのすべてのメッセージを読み取ることが可能になります。

3. トークン保存

VPSでOpenClawを実行している場合、Slackボットトークンがどこに保存されているかを確認してください。644権限の.envファイルに保存されている場合、シェルアクセス権を持つ誰でもそれらを読み取ることができます。Bitsightレポートでは、これらのトークンが侵害された何千もの公開されたOpenClawインスタンスが発見されました。

推奨される解決策

オプション1: SlackClawへの移行

投稿者はSlackClaw（slackclaw.ai）に移行しました。これはプラットフォームレベルで資格情報の分離を処理し、各ワークスペースは独自の分離されたランタイムを取得し、トークンは保存時に暗号化され、エージェントは明示的に追加していないチャンネルにアクセスできません。

オプション2: セルフホスト型のセキュリティ対策

セルフホストを続ける場合は、以下の最低限のセキュリティ対策を実施してください：

• システムプロンプトでエラー出力を制限する
• Socket Modeを使用する（公開Webhookなし＝攻撃対象領域の縮小）
• 秘密情報を適切なシークレットマネージャーに保存し、.envファイルを使用しない
• 読み取り専用ファイルシステムでコンテナ内でOpenClawを実行する
• ボットがアクセスできるチャンネルを毎月監査する

ソースで言及されているBitsightレポートでは、8,000以上の公開されたOpenClawインスタンスが発見されました。1月の流行波の間に設定し、それ以来設定を変更していない場合は、おそらく脆弱です。