OpenClawセキュリティ危機は一つだけ有益なものを生み出した:AIエージェントセキュリティに実際に何が必要かという明確さだ。2026年1月以前、「AIエージェントセキュリティ」は漠然とした懸念だった。3月以降、それはチェックリストになった。
これは理論の話ではない。このリストのすべての項目は、2026年第1四半期に実際に悪用された脆弱性に対応している。
ネットワーク露出
1. バインドアドレスを確認する。
```bash ss -tlnp | grep -E "(zeroclaw|openclaw|ollama)" ```
AIサービスが0.0.0.0(全インターフェース)でリッスンしている場合、マシンにパブリックIPがあればインターネットからアクセス可能だ。即座に127.0.0.1に変更すること。
OpenClawのデフォルトバインドアドレスは0.0.0.0だった。このたった一つのデフォルト設定が42,000以上のインスタンス露出の原因だ。ZeroClawのデフォルトは127.0.0.1。
2. 露出ポートをスキャンする。
ネットワークの外側から(VPSやShodanのようなサービスを使って):
```bash nmap -p 3000,11434,8080 your-public-ip ```
ポート3000(一般的なエージェントUI)、11434(Ollama)、8080(一般的なWebインターフェース)は、適切な認証を設定して明示的にアクセスを構成していない限り、外部からアクセスできてはならない。
3. 認証付きリバースプロキシを使う。
リモートアクセスが必要な場合、エージェントをnginxやCaddyの背後に配置し、適切な認証を設定する。エージェントを直接公開してはならない。
認証とトークン
4. すべてのAPIキーとトークンをローテーションする。
初期セットアップ以来同じAPIキーでエージェントが動いているなら、今すぐローテーションすべきだ。ClawHub攻撃は環境変数を収集した——サードパーティのスキルをインストールしたことがあるなら、エージェントプロセスからアクセス可能だったキーは潜在的に漏洩したと考えるべきだ。
5. トークンの有効期限を確認する。
OpenClawは有効期限のないベアラートークンを使っていた。盗まれたトークンは永久に有効だった。ZeroClawはセッション限定トークンを伴うゲートウェイペアリングを使う。OpenClawを使っているなら、認証トークンに有効期限があるか確認し、スケジュールに基づいてローテーションすること。
6. 認証情報をスコープで分離する。
エージェントにすべてへのフルアクセスを持つ単一のAPIキーを渡してはならない。スコープ付きの認証情報を作成する:ナレッジベース用の読み取り専用キー、エージェントが変更する必要がある特定サービス用の書き込みキー、各インテグレーション用の個別キー。
スキルと拡張機能
7. インストール済みスキルを監査する。
```bash # OpenClawの場合: openclaw skills list
# 既知の悪意あるリストと照合: # github.com/koi-security/clawhavoc-indicators ```
ZeroClawの場合:config.tomlのtoolsセクションを確認する。そこにリストされたすべてのツールは、その設定ブロックで付与された権限を持つ——それぞれが意図的なものか確認すること。
8. 積極的に使っていないスキルを削除する。
インストールされたすべてのスキルは攻撃面だ。6ヶ月前に「solana-wallet-tracker」をインストールして一度も使っていないなら、削除する。未使用のスキルは「後で新鮮な空気が欲しくなるかもしれないから」と窓を開けっぱなしにしているデジタル版だ。
9. スキルのソースを確認する。
OpenClawの場合:インストールされた各スキルの作者を確認する。スキル公開日より前の履歴がある正当なGitHubプロフィールを持っているか検証する。ClawHavocは新規作成アカウントを使っていた。
ZeroClawの場合:この懸念は該当しない——インストール元のマーケットプレイスが存在しない。
権限とサンドボックス
10. ファイルシステムアクセスを確認する。
エージェントがアクセスできるファイルやディレクトリは何か?OpenClawスキルはデフォルトでファイルシステム全体にアクセスできる。ZeroClawはデフォルト拒否のアローリストを使う。
```bash # ZeroClawのファイルアクセス設定を確認: grep -A 5 "[tools." ~/.zeroclaw/config.toml ```
エージェントは必要なディレクトリだけにアクセスすべきだ。サポートチャットボットに/etc/sshへのアクセスは不要。コーディングアシスタントにブラウザプロフィールへのアクセスは不要。
11. ネットワークアクセスを確認する。
エージェントは任意のネットワークリクエストを送信できるか?できるなら、侵害されたエージェントは任意のエンドポイントにデータを流出させることができる。ZeroClawのアローリストモデルは、明示的に許可されたエンドポイントへのアウトバウンド接続を制限する。
12. プロセス権限を確認する。
エージェントはどのユーザーで動いているか?rootで動かすとエージェント(および侵害されたスキル)にシステム全体へのアクセスを与える。専用の低権限ユーザーでエージェントを実行すること。
```bash # 確認: ps aux | grep zeroclaw # 最初の列に 'root' が表示されてはならない ```
データ保護
13. メモリデータベースを暗号化する。
エージェントのメモリにはこれまでの全会話が含まれている。マシンが盗まれたり攻撃者にアクセスされた場合、暗号化されていないメモリはデータ漏洩だ。
ZeroClawは保存時暗号化のためにSQLCipherをサポートしている。config.tomlで有効にすること。
14. 環境変数の中身を確認する。
```bash env | grep -iE "(key|token|secret|password|credential)" ```
エージェントプロセスから見えるすべての環境変数は、エージェントが使うすべてのスキル/ツールからアクセス可能だ。機密の認証情報をシークレットマネージャーまたはZeroClawの暗号化設定ストレージに移動すること。
モニタリング
15. 監査ログを有効にする。
- •すべてのツール呼び出し(どのツール、どのパラメータ、どの結果)
- •すべての外部ネットワークリクエスト(送信先、ペイロードサイズ)
- •すべてのファイルアクセス(パス、操作タイプ)
- •認証イベント(成功と失敗)
これらのログをモニタリングスタックに送り、異常パターンに対してアラートを設定する:通常でないアウトバウンド接続、予期しないファイルアクセス、通常でない時間帯のツール呼び出し。
クイック・アセスメント
エージェントのセキュリティ態勢を素早く把握したいなら、3つの質問に答えるだけでいい:
- 1.**インターネットから到達可能か?** Yesなら、まずそれを修正する。
- 2.**スキル/ツールが何にでもアクセスできるか?** Yesなら、権限境界を追加する。
- 3.**侵害を示すログがあるか?** Noなら、ログを有効にする。
この3つの質問に正直に答えれば、OpenClaw危機で悪用された脆弱性の90%をカバーできる。残りの10%が上記の詳細チェックリストだ。
セキュリティは状態ではない。実践だ。このチェックリストを四半期ごと、設定変更のたび、新しい拡張機能をインストールするたびに実行する。かかる10分は、代替策よりはるかに安い。