制服警備員問題:エージェントサンドボックスにはポリシーだけでなくアイデンティティが必要な理由

The Uniformed Guard Problem(制服を着た警備員問題)は、NemoclawのopenshellのようなAIエージェントサンドボックスにおける重大な欠陥を浮き彫りにします。セキュリティポリシーがエージェントではなくバイナリにスコープされているため、Shai-Hulud系統などのマルウェアが、エージェントに実行を許可された同じバイナリを再利用して環境に寄生(live-off-the-land)することを可能にします。提案されている解決策は、オープンソースのエージェントID層であるZeroIDで、現在ClawHubのスキルとして、またアウトオブバンド制御のサイドカーとして利用可能です。
主要な問題:バイナリスコープのポリシー
Nemoclawのopenshellサンドボックスは、バイナリレベルでポリシーを適用します。例えば、エージェントが/usr/bin/curlを実行できる場合、そのバイナリを持つ任意のプロセス(マルウェアを含む)がそれを実行できます。つまり、悪意のあるペイロードは、エージェントに許可されたツールを使用して任意のコードをダウンロードし実行できるのです。サンドボックスは、正当なエージェントのアクションと、同じバイナリを使用したマルウェアのアクションを区別するメカニズムを提供しません。
解決策:エージェントによるID
ZeroIDはセキュリティをバイナリスコープのポリシーからエージェントスコープのポリシーに移行します。各エージェントには暗号化IDが割り当てられ、そのIDに基づいてポリシーが適用されます。これにより、マルウェアはエージェントに許可されたバイナリを悪用できなくなります。なぜなら、マルウェアはエージェントのIDを持たないからです。ID層は2つのモードで動作します。
- ClawHubスキル:ZeroIDをClawHubのスキルとしてインストールするため、インフラの変更は不要です。
- サイドカー統合:ZeroIDをサイドカープロセスとして実行し、アウトオブバンド制御を行い、システムコールをインターセプトして実行前にIDを検証します。
実装の詳細
ソースによると、ZeroIDはオープンソースで、現在Openclawと統合されています。チームはコミュニティにテストを呼びかけ、Openclaw統合の拡大に協力を求めています。ソースではバージョン番号やコードスニペットは提供されていませんが、サイドカーアーキテクチャは、エージェントのランタイム環境にフックする軽量なデーモンを示唆しています。
対象者
Openclaw上でAIコーディングエージェントを実行し、バイナリレベルのサンドボックスを迂回するマルウェアに対してより強力な分離を必要とする開発者。
📖 ソース全文を読む: r/openclaw
👀 See Also

研究:不可視のUnicode文字がツールアクセスを介してLLMエージェントを乗っ取る可能性
ある研究では、通常のテキストに埋め込まれた不可視のUnicode文字に隠された指示を大規模言語モデル(LLM)が従うかどうかをテストしました。2つのエンコーディング方式を5つのモデルで8,308件の評価済み出力を用いて検証。主な発見:ツールアクセスにより、従順性が17%未満から98-100%に増幅され、モデルは隠された文字を解読するPythonスクリプトを作成しました。

オーディオレイヤー即時注入攻撃に対するクロード:トランスクリプトにないもの
プロンプトインジェクション検出APIを構築した開発者が、Claudeに対するオーディオレイヤー攻撃に関する発見を共有。信号(文字起こしではない)に埋め込まれた攻撃はログに残らず、音声エージェントに現実的な脅威をもたらす。

エージェントシール セキュリティスキャンが Blender MCP サーバーにAIエージェントのリスクを発見
AgentSealはBlender MCPサーバー(17kスター)をスキャンし、AIエージェントに関連するいくつかのセキュリティ問題を特定しました。これには、任意のPython実行、潜在的なファイル流出チェーン、ツール説明におけるプロンプトインジェクションパターンなどが含まれます。

OpenClawスキル安全スキャナー:31,371スキルのうち7.6%が危険と判定されました
開発者がClawHubレジストリ全体をスキャンするツールを構築し、31,371のスキルのうち2,371個がウォレットドレイナー、認証情報窃取、プロンプトインジェクションなどの危険なパターンを含んでいることを発見しました。このツールは、インストール前にスキルをチェックするためのAPIアクセスとバッジを提供します。