実行前認可と実行後検証：ゼロトラスト・オープンクローアーキテクチャの完全ガイド

OpenClawのオープンソースセキュリティアーキテクチャは、エージェントがOSの環境権限を持ちながら、その行動を確実に検証できないという問題に対処します。このソリューションは、実行ループに2つの強固なチェックポイントを実装しています。

実行前ゲート

predicate-authoritydと呼ばれるローカルのRustデーモンが、実行前にすべてのツール呼び出しをインターセプトし、宣言型ポリシーに対してチェックします。これにより、p99 <25msのサブミリ秒認可オーバーヘッドを実現します。システムはフェイルクローズドです：サイドカーがダウンしている場合、すべてが拒否されます。例えば、エージェントが/etc/passwdへの書き込みを試みると、ハードブロックされ、ホストOSは一切触れられません。

実行後検証

ブラウザアクション後にLLMに「うまくいったか？」と尋ねる代わりに、システムは以下のような決定論的なアサーションを実行します：

url_contains("news.ycombinator.com") → PASS
element_exists("titleline") → PASS
dom_contains("Show") → PASS

.eventually()パターンは、脆弱なsleep()呼び出しなしでSPAのハイドレーションを処理します。

トレーシングとトークン節約

すべてのステップ（認可決定、DOMスナップショット、検証結果）がトレース（ローカルまたはクラウド）にプッシュされます。ウェブポータルでエージェントの正確な状態をステップごとに再生でき、失敗したアサーションのデバッグや、エージェントが実際に見た内容（スクリーンショット含む）の監査に役立ちます。

predicate-snapshotスキルは、DOMを操作可能な要素のみに圧縮し、90-99%のトークン節約を実現します。Hacker Newsの投稿を抽出するデモでは、生のHTMLの50k+トークンではなく、ステップあたり約1200トークンを使用しました。

ユースケースと将来の開発

このアーキテクチャは、eコマースサイト（Amazon、eBay）での価格監視、競合他社の追跡、ディレクトリからのリード生成、エージェントが実際に正しいデータを抽出したことを保証する必要があるウェブスクレイピングなど、本番環境でのタスクにすぐに使用できます。

実行前ゲートはすでに任意のエージェントで機能します（サイドカーへの単なるHTTP呼び出しです）。将来の開発には、LLMを判断役とせずに同じ決定論的アプローチを使用して、実行後検証を非ウェブエージェント（ファイルシステム状態のアサーション、API応答検証、データベースチェック）に拡張することが含まれます。