Transformer 論文の著者がロブスターを再設計——OpenClaw のセキュリティ脆弱性を解消
TechFlow厳選深潮セレクト
Transformer 論文の著者がロブスターを再設計——OpenClaw のセキュリティ脆弱性を解消
Transformerの著者であるイリア・ポロスクヒン氏がRustでOpenClawを再実装し、セキュリティ強化版AIエージェントフレームワーク「IronClaw」をリリースしました。これはアーキテクチャレベルで資格情報漏洩の脆弱性を解決するものです。
Web3業界の深掘り報道に専念し潮流を洞察転載元|QbitAI
インターネット上には、いったい何匹の「ロブスター(Lobster)」が裸で走り回っているのか?
AIエージェントがあなたのパスワードやAPIキーを、インターネット全体にさらしてしまう。
Transformerの共著者であるイリヤ・ポロスクヒン氏は、これを見過ごすことができず、ゼロからセキュア版「ロブスター」——IronClawを再構築した。
IronClawは現在GitHub上でオープンソース化されており、macOS、Linux、Windows向けのインストーラーを提供。ローカル展開に対応し、クラウドホスティングによる利用も可能。プロジェクトは現在も急速に反復開発が進められており、v0.15.0版のバイナリファイルはすでにダウンロード可能。
ポロスクヒン氏(以下、「パイナップル兄さん」と略称)はRedditフォーラムでもスレッドを開設し、あらゆる質問に応えている。この投稿には高い注目が集まっている。
01 OpenClawは話題になったが、同時に「炎上」もした
パイナップル兄さん自身もOpenClawの初期ユーザーであり、「待ち望んでいた技術だ、20年待った」と評価している。
この技術は、私がコンピュータとやり取りする方法そのものを変えてしまった。
しかしOpenClawのセキュリティ状況は文字通り「災害」レベルであり、ワンクリックによるリモートコード実行、プロンプトインジェクション攻撃、悪意あるスキルによるパスワード窃取といった脆弱性が、次々とOpenClawのエコシステム内で明らかになった。
十分なセキュリティ対策なしにインターネット上に公開されたインスタンスは2万5,000件以上に及び、セキュリティ専門家からは直接「セキュリティ・ダンプスターファイア(security dumpster fire)」と呼ばれている。
問題の根本原因は、アーキテクチャ自体にある。
ユーザーが自分のメールアカウント用Bearer TokenをOpenClawに渡すと、それがそのままLLMプロバイダーのサーバーへ送信される。
パイナップル兄さんはRedditで、これが意味するところをこう指摘している。
あなたのすべての情報——明示的に許諾していないデータさえも——その企業の従業員なら誰でもアクセスできる可能性がある。これはあなたが所属する企業のデータにも同様に適用される。決してこれらの企業が悪意を持っているというわけではないが、現実は、ユーザーには実質的なプライバシーがないということだ。
彼はさらに、「どんなに便利であっても、自分や家族の安全・プライバシーを危険にさらす価値はない」と述べている。
02 Rustでゼロからすべてを再構築
IronClawは、Rust言語によるOpenClawの完全な書き直しである。
Rustのメモリ安全性は、バッファオーバーフローなどの従来型脆弱性を根本的に排除する。これは、秘密鍵やユーザー認証情報を扱うシステムにとって極めて重要である。
セキュリティアーキテクチャにおいて、IronClawは4層の「縦深防御(Defense-in-Depth)」を構築している。
第1層は、Rust言語自体が提供するメモリ安全性保証である。
第2層はWASMサンドボックスによる隔離。すべてのサードパーティツールおよびAI生成コードは、独立したWebAssemblyコンテナ内で実行されるため、仮に悪意あるツールであっても、その被害範囲は厳密にサンドボックス内に制限される。
第3層は暗号化クレデンシャル・ヴォールト。すべてのAPIキーおよびパスワードはAES-256-GCMで暗号化して保存され、各クレデンシャルにはポリシー規則が紐付けられており、特定のドメインでのみ使用可能とされている。
第4層はトラステッド・エグゼキューション・エンバイロメント(TEE)。ハードウェアレベルの隔離によりデータを保護し、クラウドサービスプロバイダーですらユーザーの機密情報をアクセスできないようにする。
この設計で最も重要な点は:大規模言語モデル(LLM)自体が、生のクレデンシャルに一切触れることはないということである。
エージェントが外部サービスと通信する必要が生じたときのみ、ネットワーク境界でクレデンシャルが注入される。
パイナップル兄さんは具体例を挙げて説明している。たとえば、LLMがプロンプトインジェクション攻撃によってユーザーのGoogle OAuthトークンを攻撃者に送信しようとしても、クレデンシャル保管レイヤーはこの要求を即座に拒否し、ログを記録するとともにユーザーに警告を発する。
しかし、開発者コミュニティは依然として懸念を抱いている。OpenClawでは2,000件以上の公開インスタンスが攻撃を受け、また悪意あるスキルが多数存在していた。IronClawが人気を博した場合、同じ過ちを繰り返すのではないか?
それに対しパイナップル兄さんは、IronClawのアーキテクチャ設計が、OpenClawの核心的脆弱性を根本的に封じ込めたと答えている。クレデンシャルは常に暗号化されたまま保管され、LLMとは一切接触しない。また、サードパーティのスキルはホスト上でスクリプトを実行できず、コンテナ内部でのみ動作する。
CLI経由でアクセスする場合でさえ、ユーザーのシステムキーチェーンによる復号が必要であり、取得した暗号化キー単体には何の意味もない。
さらに彼は、コアバージョンが安定化しつつあることを踏まえ、今後はレッドチーム演習および専門家のセキュリティレビューを実施する計画であると述べている。
業界全体で難問とされる「プロンプトインジェクション」については、パイナップル兄さんがより詳細な対応方針を示している。
現時点では、IronClawはヒューリスティックなルールに基づくパターン検出を採用しているが、将来的には継続的に更新可能な小型言語分類器を導入して、インジェクションパターンを高精度に識別することを目指す。
ただし彼は、プロンプトインジェクションは単にクレデンシャルを盗むだけでなく、ユーザーのコードベースを直接改ざんしたり、コミュニケーションツールを通じて悪意あるメッセージを送信したりする可能性もあると認めている。
こうした攻撃への対応には、入力内容を確認せずにエージェントの行動意図を審査できる、より高度な戦略システムが必要となる。「まだ多くの課題が残っており、コミュニティからの貢献を歓迎する」と彼は述べている。
ローカル展開とクラウド展開のどちらを選ぶべきかという問いに対しては、
パイナップル兄さんは、純粋なローカル方式には明確な限界があると指摘する。デバイスの電源が切れた時点でエージェントは停止し、モバイル端末の電力消費も負担が大きく、複雑で長時間に及ぶタスクも実行できない。
そこで彼は、「機密クラウド(confidential cloud)」こそが現時点における最適な折衷案だと考えている。これは、ローカルデバイスに近いプライバシー保護水準を提供しながら、「常時接続(always-on)」という要件も満たすことができる。
また、彼はもう一つの具体的な機能についても言及している:ユーザーは、海外旅行中に自動的に追加のセキュリティバリアを設定するなど、状況に応じたポリシーを柔軟に定義できる。
03 より大きな野望
パイナップル兄さんは、ごく普通のオープンソース開発者ではない。
2017年、彼は「Attention Is All You Need」の8人の共著者の一人として論文を発表。そこに提案されたTransformerアーキテクチャは、今日のすべての大規模言語モデルの基盤を築いた。
署名順は最終位であったが、論文中の脚注には「Equal contribution. Listing order is random.(同等の貢献。並び順はランダム)」とあり、順位は単なる偶然によるものである。
同年、彼はGoogleを退職し、NEAR Protocolを創設。AIとブロックチェーン技術の融合を推進している。
IronClawの背後には、NEAR Protocolが掲げるより大きな戦略的ビジョン——「ユーザー所有のAI(User-Owned AI)」がある。
このビジョンにおいて、ユーザーは自身のデータおよび資産を完全に支配し、AIエージェントは信頼できる環境下でユーザーに代わってタスクを遂行する。
NEARはすでに、AIクラウドプラットフォームおよび分散型GPUマーケットプレイスといった基盤インフラを構築済みであり、IronClawはその実行時(Runtime)層に位置づけられる。
さらにパイナップル兄さんは、エージェント同士が相互に雇用関係を結ぶマーケットプレイスも開発している。
NEARのmarket.near.aiでは、ユーザーが自身の専門性を活かしたエージェントを登録でき、そのエージェントが評判を積むにつれて、より高価値なタスクを獲得していく。
「一般の人々が今後5年間でAI時代にどう適応すべきか?」という問いに対し、パイナップル兄さんのアドバイスは、AIエージェントを活用する作業スタイルを早急に採用し、業務フロー全体を自動化させるよう学ぶことだ。
こうした判断は、彼が最近になって急に思いついたものではない。
2017年にNEAR AIを立ち上げた際、彼はすでに「将来は、あなたがコンピュータと会話するだけでよく、コードを書く必要はなくなる」と語っていた。
当時の人々は、彼らが狂っている、あるいは空想を語っていると感じていた。
そして9年が経ち、それは今まさに現実になりつつある。
「AIエージェントは、人類とオンライン上のあらゆるもののインタラクションの究極のインターフェースである」——ポロスクヒン氏はこう記している。「だが、それを安全なものにしよう。」
---
GitHubリポジトリ:
https://github.com/nearai/ironclaw
参考リンク:
[1] https://www.reddit.com/r/MachineLearning/comments/1rlnwsk/d_ama_secure_version_of_openclaw/
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
