制服警備員問題:エージェントサンドボックスにはポリシーだけでなくアイデンティティが必要な理由
The Uniformed Guard Problem(制服を着た警備員問題)は、NemoclawのopenshellのようなAIエージェントサンドボックスにおける重大な欠陥を浮き彫りにします。セキュリティポリシーがエージェントではなくバイナリにスコープされているため、Shai-Hulud系統などのマルウェアが、エージェントに実行を許可された同じバイナリを再利用して環境に寄生(live-off-the-land)することを可能にします。提案されている解決策は、オープンソースのエージェントID層であるZeroIDで、現在ClawHubのスキルとして、またアウトオブバンド制御のサイドカーとして利用可能です。
主要な問題:バイナリスコープのポリシー
Nemoclawのopenshellサンドボックスは、バイナリレベルでポリシーを適用します。例えば、エージェントが/usr/bin/curlを実行できる場合、そのバイナリを持つ任意のプロセス(マルウェアを含む)がそれを実行できます。つまり、悪意のあるペイロードは、エージェントに許可されたツールを使用して任意のコードをダウンロードし実行できるのです。サンドボックスは、正当なエージェントのアクションと、同じバイナリを使用したマルウェアのアクションを区別するメカニズムを提供しません。
解決策:エージェントによるID
ZeroIDはセキュリティをバイナリスコープのポリシーからエージェントスコープのポリシーに移行します。各エージェントには暗号化IDが割り当てられ、そのIDに基づいてポリシーが適用されます。これにより、マルウェアはエージェントに許可されたバイナリを悪用できなくなります。なぜなら、マルウェアはエージェントのIDを持たないからです。ID層は2つのモードで動作します。
- ClawHubスキル:ZeroIDをClawHubのスキルとしてインストールするため、インフラの変更は不要です。
- サイドカー統合:ZeroIDをサイドカープロセスとして実行し、アウトオブバンド制御を行い、システムコールをインターセプトして実行前にIDを検証します。
実装の詳細
ソースによると、ZeroIDはオープンソースで、現在Openclawと統合されています。チームはコミュニティにテストを呼びかけ、Openclaw統合の拡大に協力を求めています。ソースではバージョン番号やコードスニペットは提供されていませんが、サイドカーアーキテクチャは、エージェントのランタイム環境にフックする軽量なデーモンを示唆しています。
対象者
Openclaw上でAIコーディングエージェントを実行し、バイナリレベルのサンドボックスを迂回するマルウェアに対してより強力な分離を必要とする開発者。
📖 ソース全文を読む: r/openclaw
👀 See Also
研究:不可視のUnicode文字がツールアクセスを介してLLMエージェントを乗っ取る可能性
ある研究では、通常のテキストに埋め込まれた不可視のUnicode文字に隠された指示を大規模言語モデル(LLM)が従うかどうかをテストしました。2つのエンコーディング方式を5つのモデルで8,308件の評価済み出力を用いて検証。主な発見:ツールアクセスにより、従順性が17%未満から98-100%に増幅され、モデルは隠された文字を解読するPythonスクリプトを作成しました。
ワイドオープンクロー:緩いDiscordボットの権限によるセキュリティリスク
セキュリティ研究者が、ユーザーが過剰な権限でDiscordサーバーにAIアシスタントボットを追加した際にOpenClawがどのように悪用されるかを実証し、セキュリティ対策を考慮せずにroot/管理者アクセスを許可するユーザーを標的としています。
Google検索で公開されているセキュリティ対策されていないペーパークリップインスタンスによるライブダッシュボードの露出
Redditユーザーがエラーを検索中に、完全な組織データがGoogleにインデックスされたライブのPaperclipダッシュボードを発見しました。このインスタンスは認証なしで公開されており、組織図、エージェントの会話、タスク割り当て、事業計画が明らかになりました。
スキルアナライザーがClawHubで利用可能になり、ワンコマンドインストールで導入できます。
OpenClaw Skill Analyzerセキュリティスキャナーが、ClawHubでワンコマンドインストール可能になりました。このツールは、プロンプトインジェクションや資格情報窃取などの悪意のあるパターンをスキルフォルダからスキャンし、安全な実行のためのDockerサンドボックスサポートも含まれています。