セキュリティベストプラクティス
OpenClawデプロイメントのための必須セキュリティ強化 — ネットワーク分離からスキル監査まで。
OpenClawはファイル読み書き、シェルコマンド、ブラウザ制御など深いシステムアクセスを持つ強力なAIエージェントです。この能力には堅牢なセキュリティ慣行が求められます。2026年に複数のCVEが公開され、ClawHubもマルウェアキャンペーンに直面しました。このガイドはデプロイメントのロックダウンに必要なすべてをカバーします。
既知の脆弱性(2026)
トークン漏洩によるワンクリックRCE — WebSocket Origin headerが未検証。パッチ:v2026.1.29+
GNUロングオプション省略形を使用したsafeBinsバイパス。パッチ:v2026.3.12+
安全でないPATH処理によるDockerサンドボックスのコマンドインジェクション。パッチ:v2026.1.29+
skills.statusエンドポイントが機密設定データを漏洩。パッチ:v2026.2.14+
間接プロンプトインジェクション — Webコンテンツ未サニタイズ。継続的な緩和中。
1. ネットワークセキュリティ
ゲートウェイをインターネットに公開しない
localhostのみにバインド(127.0.0.1:18789)。デフォルトの0.0.0.0バインドはAPIを全インターフェースに公開します。SSHトンネルまたはTailscaleでリモートアクセス。
TLS付きリバースプロキシを使用
外部公開が必要な場合、Cloudflare TunnelまたはNginxでTLS終端処理。本番環境で平文HTTPは禁止。
強力なゲートウェイパスワードを設定
gateway.auth.tokenまたはgateway.auth.passwordに高エントロピー値を使用。トークンを定期的にローテーション。
2. Docker強化
docker run --read-only --cap-drop=ALL読み取り専用ファイルシステムで実行し、全Linux特権を削除
--memory=2g --cpus=2暴走プロセスによるDoSを防ぐリソース制限
--network=none(隔離タスク用)インターネットアクセス不要のタスクのネットワークを無効化
OPENCLAW_TZ=Your/Timezone正確なログとcron実行のためタイムゾーンを明示的に設定
3. ClawHubスキルの安全性
ClawHavocキャンペーンで800+の悪意あるスキルがClawHubに侵入 — 人気ツールに偽装された資格情報窃取やマルウェアローダーを含む。
- スキルをインストールする前に必ずソースコードをレビュー
- パブリッシャーの身元と履歴を確認
- スキルのバージョンを固定 — 本番環境で'latest'は使わない
- VirusTotalスキャン結果を確認(ClawHubに統合済み)
- '前提条件'や外部ダウンロードを要求するスキルには注意
- スキルコメント内のエンコードされた悪意あるペイロードを監視
- ツールアクセスを制限 — 機密ファイルアクセスをブロックするハードツール制限を使用
4. 資格情報とシークレット
シークレットを環境変数に移動
openclaw.config.yamlにAPIキーをハードコードしない。環境変数または組み込みシークレットマネージャーを使用。
資格情報ストレージの暗号化
デフォルトの~/.openclaw/credentials/は平文。システムキーチェーンまたはシークレットマネージャーに移行。
APIキーに利用限度を設定
各プロバイダーに専用APIキーを作成し、利用上限を設定。毎月ローテーション。
ファイル権限のロック
chmod 600 ~/.openclaw/openclaw.config.yaml — 他のユーザーによる設定の読み取りを防止。
5. サンドボックスと権限
- OpenClawエージェントにsudoアクセスを絶対に付与しない
- tools.profile = 'session'でセッションごとの権限を制限
- screen_recordやsystem.whichなどのツールに明示的な許可リストを作成
- 個人と企業の自動化を別ワークスペースに分離
- SOUL.mdとAGENTS.mdをランタイムで読み取り専用に設定
- 暗黙的ワークスペースプラグイン自動ロードを無効化(v2026.3.12以降デフォルト)
6. 最新の状態を維持
OpenClawは重要なセキュリティパッチを頻繁にリリースしています。組み込み自動アップデーターを有効にするか、毎週リリースを確認してください。