OpenClaw は公の場でより安全になった

OpenClaw プロジェクトは、著者がウィーンで Mac 上で始めた実験でしたが、今では多くの企業が本番環境で使用するオープンソース AI エージェントプロジェクトに成長しました。オープンソースはコードが公開されているため安全ではないとよく言われますが、まさにその公開性のおかげで OpenClaw は迅速に安全性を高めることができました。

プロジェクトが直面した最大の課題の一つは、大量の誤ったセキュリティ報告でした。1月10日以来、GitHub で 1,309 件のセキュリティ勧告が提出され、そのうち 746 件が無効としてクローズされました。これらの報告は「エージェントがコマンドを実行するため RCE がある」、「プラグインがコードを実行する」など、実際のセキュリティ境界違反ではないものがほとんどでした。OpenClaw チームは SECURITY.md で信頼モデルと期待される動作を定義することで、これらの誤検出を効果的にフィルタリングしました。

それでも実際のバグは存在しました。認証バグ、権限の混乱、再接続時のスコープ拡大、サンドボックス回避、安全でない環境変数の処理、承認パスの誤りなどが修正されました。セキュリティ強化のために一部の機能が削減され、例えば許可リストが厳格化され、シングルマシン設定のユーザーには影響がありましたが、主にマルチユーザー脅威を対象としており、本番環境でより重要です。

攻撃面を減らすため、OpenClaw はより多くの機能をプラグインに移し、コアの攻撃面と依存関係ツリーを縮小しました。リリースプロセスは一人から二人の OpenClaw Foundation 社員による署名付きに変更されました。CI のエンドツーエンドテストも強化され、すべてのプルリクエストでエージェントフローが実行されるようになりました。OpenTelemetry や Prometheus メトリクスなどの可観測性も追加され、シークレット管理は「注意してください」から参照ベースに移行しました。

OpenClaw のセキュリティ向上には多くのパートナーの貢献があります。NVIDIA はエンジニアリング時間とセキュリティ思考を提供し、Microsoft と GitHub は GitHub Secure Open Source Fund を通じてプラットフォームレベルで支援しました。Atlassian や他のエンタープライズパートナーは展開、監査可能性、アイデンティティ境界、シークレット処理で貢献。Tencent はフルタイムのメンテナーを割り当て、内部セキュリティチームとの直接の脆弱性同期ラインを確立しました。OpenAI は Codex Security を提供して積極的にセキュリティ問題を発見・修正し、OpenClaw の独立性維持にコミットしています。

ClawHub のセキュリティ再構築も進行中で、Convex が市場の維持と監視を支援しています。先月だけでチームは 700 件以上の ClawHub モデレーション問題をクローズしました。

2月に話題となった「Agents of Chaos」論文は、OpenClaw のセキュリティを誇張して描写しました。研究者はガードレールを無効にし、sudo モードでエージェントをテストし、その結果をユーザーのデフォルト体験であるかのように書きました。実際には、OpenClaw はエージェントごとに一人の信頼できるユーザーを想定して設計されており、信頼できないユーザーとエージェントを共有すると、そのユーザーは同じツールアクセスを得ます。これは設計上の特徴であり、隠れた認証バグではありません。

結論として、オープンと安全は対立しません。OpenClaw の事例は、オープンであることが安全への道であることを示しています。