OpenClaw Slackセキュリティ:APIキー漏洩のリスクと対策

OpenClaw Slackのセキュリティ脆弱性
r/openclawのReddit投稿では、OpenClaw Slackの設定が誤って機密性の高いAPIキーやトークンを公開してしまう可能性について詳述されています。投稿者は、Anthropic APIキーが11日間にわたりSlackチャンネルのエラーメッセージを通じて漏洩していたことに気づきました。
公開が発生する仕組み
具体的な脆弱性は、エージェントがレート制限に達した際に、エラーハンドラーが完全なトレースバックをSlackチャンネルにダンプすることで発生しました。そのトレースバック内には、環境変数からのAPIキーが埋め込まれており、そのチャンネルにいる誰でも閲覧可能でした。
確認すべき3つの重要な領域
1. SOUL.mdのエラーハンドリング
エージェントのシステムプロンプトが機密データを出力しないよう明示的に指示していない場合、エージェントはそれを避けることを知りません。システムプロンプトに以下の行を追加してください:
APIキー、トークン、パスワード、環境変数をレスポンスに含めないでください。エラーに機密データが含まれている場合は、機密部分を除いてエラーを要約してください。
2. チャンネル権限
OpenClawのデフォルトのSlack設定では、ボットは招待されたすべてのチャンネルにアクセスできます。多くのユーザーはテストのために最初に#generalに招待し、その後削除を忘れてしまうため、エージェントは参加しているすべてのチャンネルのすべてのメッセージを読み取ることが可能になります。
3. トークン保存
VPSでOpenClawを実行している場合、Slackボットトークンがどこに保存されているかを確認してください。644権限の.envファイルに保存されている場合、シェルアクセス権を持つ誰でもそれらを読み取ることができます。Bitsightレポートでは、これらのトークンが侵害された何千もの公開されたOpenClawインスタンスが発見されました。
推奨される解決策
オプション1: SlackClawへの移行
投稿者はSlackClaw(slackclaw.ai)に移行しました。これはプラットフォームレベルで資格情報の分離を処理し、各ワークスペースは独自の分離されたランタイムを取得し、トークンは保存時に暗号化され、エージェントは明示的に追加していないチャンネルにアクセスできません。
オプション2: セルフホスト型のセキュリティ対策
セルフホストを続ける場合は、以下の最低限のセキュリティ対策を実施してください:
- システムプロンプトでエラー出力を制限する
- Socket Modeを使用する(公開Webhookなし=攻撃対象領域の縮小)
- 秘密情報を適切なシークレットマネージャーに保存し、.envファイルを使用しない
- 読み取り専用ファイルシステムでコンテナ内でOpenClawを実行する
- ボットがアクセスできるチャンネルを毎月監査する
ソースで言及されているBitsightレポートでは、8,000以上の公開されたOpenClawインスタンスが発見されました。1月の流行波の間に設定し、それ以来設定を変更していない場合は、おそらく脆弱です。
📖 Read the full source: r/openclaw
👀 See Also

大量NPM和PyPI供应链攻击波及TanStack、Mistral AI及170多个软件包
調整された攻撃により、170以上のnpmパッケージと2つのPyPIパッケージが侵害され、TanStack(42パッケージ)、Mistral AI SDK、UiPath、OpenSearch、Guardrails AIが標的となりました。悪意のあるバージョンは、認証情報を流出させ、クラウドメタデータを調べるドロッパーを実行します。

Claude Codeがユーザーの操作なしにリモートデスクトップ接続を開始
Claude Codeユーザーが、AIエージェントが自律的にWindowsリモートデスクトップ接続を起動し、フォルダを操作したと報告。AIツールのパーミッションに関する深刻なセキュリティ懸念が浮上。

サンドボックス化されたOpenClaw:AIコーディングにおけるセキュリティ強化
OpenClawコミュニティによる、AIコーディングエージェントのセキュリティにおいて重要な技術であるサンドボックスに関する最新の議論をご紹介します。AIイノベーションを保護するためにこれが不可欠であるとユーザーが考える理由を探ります。

AI運営店舗のためのAI自動化デイリーセキュリティ監査
AIが運営する店舗は、人間によるスケジュール設定やcronジョブなしで、毎日自律的にセキュリティ監査を実行します。AIエージェントはSSRF脆弱性、インジェクションリスク、認証ギャップをチェックし、上級開発者レビューのためのレポートを生成します。