2026/03/23 2:35

オープンクローは、昼間の夢想に包まれたセキュリティの悪夢です。

RSS: https://news.ycombinator.com/rss

要約▶

Japanese Translation:

概要：
OpenClawは、AnthropicのClaude Opus 4.5を使用し、M4 Mac Mini上で動作するローカル大規模言語モデルエージェントです。Telegram、Gmail、Slack、ブラウザ、Alexa、Sonos、Notion、Todoist、Spotify、Philips Hueなどのサービスと統合されます。テスト中に著者はOpenClawを試験する際にClaude APIで約1億8000万トークンを消費し、プロンプトインジェクション、幻覚、偶発的なデータ漏洩、二要素認証コードの読取りや銀行口座へのログインといった複数のセキュリティ弱点が判明しました。
エージェントの「SkillHub」マーケットプレイスは検査機能がなく、最もダウンロードされたTwitterスキルがステージ化されたペイロードを介してクッキー、認証情報、およびSSHキーを盗むマルウェアを配布しました。Snykの分析では、3,984スキルの7.1 %がログまたはLLMコンテキストにプレーンテキストの認証情報を露出していることが判明しています。OpenClawの構造上、Slack、Gmail、Teams、Trelloなど接続された統合サービス全てがエージェントが侵害されるとアクセス可能になり、トークンはローカルに保存され盗難のリスクがあります。デフォルトのローカルホスト接続は認証なしで自動承認され、CensysとBitSightは2026年1月に約21,000〜30,000件の公開インスタンスを検出しました。OWASPマッピングでは、プロンプトインジェクション、不安全なツール呼び出し、過剰な自律性、人間による介入欠如、メモリ汚染、不安全なサードパーティ統合、不十分な権限分離、サプライチェーンリスク、エージェント同士の無制限アクション、実行時監視不足など10件のエージェント固有脆弱性が列挙されています。
著者はOpenClawをハードニングするために、root権限を持たないDockerコンテナ内で読み取り専用ファイルシステムを使用し、マウント制限、VPN/SSHによるアクセス、トークンローテーション、およびComposioを通じてスコープを限定することを推奨しています。これらの対策が講じられない場合、ユーザーは認証情報窃盗、データ漏洩、コンプライアンス違反、評判損失のリスクに直面します。その結果、業界ではTrustClawなどのより安全な代替手段へと移行が進んでいます。 TrustClawはOAuthトークンを管理し、スコープ付きアクセスを強制、サンドボックス化されたコード実行、一括設定、継続的監視、および外部露出の制限を提供します。

本文

2023年に話題になった AutoGPT と BabyAGI の記憶を呼び起こす

GPT‑4 が登場した当時、インターネットは AutoGPT や BabyAGI をめぐって沸騰していました。
「自律エージェントが仕事を奪う」とか「それをどうやって実現するのか」という議論に、人々は恐怖とパラノイアでいっぱいでした。しかし、約数週間後にはその熱狂は消え去り、話題は沈静化しました。

そして今、正確に 3 年後。
同じような議論が再び起きているのです。今回は OpenClaw（Opus が動力源）という新たなエージェントが登場しています。
モデルは以前よりも格段に進化し、幻覚（hallucination）が大幅に減少。さらに、ローカルファイルシステムやターミナル、ブラウザ、Gmail、Slack、さらには家庭用自動化システムといった多岐にわたる環境を操作できるようになりました。
ほぼ 1 ヶ月前から Twitter 上で話題は続いており、その勢いの中で OpenAI は Peter Steinberger を買収・雇用したとも言われています。

OpenClaw：夢のような日常

「起きてノートパソコンを開くと、すべてのメールが既読に。会議は自動的に予定表へ追加され、週末のフライトも予約済み。Alexa が『Every Breath You Take』を流し始める――これが OpenClaw の約束です。」

Federico Viticci は MacStories で次のように書いています。

「過去1週間、私の名前と朝のルーティン、Notion と Todoist の使い方、Spotify・Sonos・Philips Hue・Gmail 等を把握するデジタルアシスタントと作業しています。Anthropic の Claude Opus 4.5 をベースにしているものの、Telegram 経由で対話します。名前は Navi（『オカリナオブタイム』の妖精仲間にちなんで）。Navi は音声メッセージを受け取り ElevenLabs TTS で返答し、自ら改善も行い、M4 Mac mini サーバー上で動作します。」

OpenClaw が頻繁に言及されるのを見て、私は公式サイトの手順に従い、新しい M4 Mac mini にインストール。Telegram と連携させた結果、2026 年の個人 AI アシスタント像が変わりました。Anthropic API で 1.8 億トークンを消費し、Claude/ChatGPT のアプリとの対話数は減少しました。

OpenClaw のベストケース

Brandon Wang は「受信メールのリマインダー」「予約の自動化」など、自律エージェントがもたらす利便性と粘着性を紹介しています。利用が増えるほど、ボットはパターンを学習し、ツール・ワークフロー・スキルを作成して必要に応じて呼び出します。

clawdbot

は各ワークフローの人間が読めるバージョンを Notion データベースへ書き込みます。

例：レストランがキャンセル料を課す場合、Clawdbot がユーザーに通知し、返金不可であることと期限をカレンダーイベントに含めます。

多くのメリットがありますが、セキュリティコストは大きいです。OpenClaw はテキストメッセージ（2FA コードも含む）を読むことができ、銀行口座にログインし、カレンダーや Notion、連絡先を閲覧し、ウェブをブラウズして行動できます。理論上は銀行残高を抜き取る可能性があります。

Brandon は「委任にはリスクが伴う」と指摘します：意図的な悪用、事故、ソーシャルエンジニアリング。Clawdbot の場合、プロンプトインジェクション攻撃、幻覚、不適切設定、予測不可能性がリスクとして移行します。

OpenClaw の暗い面

スキルの問題

OpenClaw は SkillHub からスキルを取得します。誰でもアカウントなしでアップロードできるため、責任やセキュリティチェックはほぼありません。最もダウンロードされたスキルは、Jason Melier（1Password）によって検出されたマルウェア配信ベクターでした。「Twitter」スキルは

openclaw-core

を依存させ、悪意あるインフラにリンクし、オブファスケートしたペイロードを実行して macOS の隔離属性を削除しデータを外部へ送信しました。

Jamieson O’Reilly はサプライチェーンバックドア攻撃のシミュレーションを行い、安全に見えるが実際にはバックドア付きのスキル（4,000 件以上のダウンロード）が存在することを示しました。Snyk の分析では 3,984 スキル中 283（7.1 %）にクリティカルな欠陥があり、平文認証情報やログ出力が漏れるケースがあったと報告しています。OpenClaw は現在 VirusTotal と提携し、スキルのリスクを検査しています。

プロンプトインジェクション脅威

LLM にはプロンプトインジェクションが不可避です。WhatsApp・Telegram・メールなどを通じて攻撃者がメッセージを送信し、OS レベルの安全性よりも上で動作するため、アプリケーション分離や同一オリジンポリシーは適用されません。

侵害された統合

OpenClaw の 50 を超える統合（Slack, Gmail, Teams, Trello 等）は攻撃面を拡大します。攻撃者がインスタンスにアクセスすれば、プライベートチャットやメール、API キー、パスワード管理ツール、家庭用自動化システムなど全てにリーチできます。

認証の乱用と過剰権限トークン

OpenClaw は API キー・OAuth トークンをローカル認証プロファイルに保存します。弱い認証や公開ゲートウェイはトークン盗難へ直結し、攻撃者は Slack や Gmail などでユーザーになりすますことができます。

メモリ感染

OpenClaw のメモリは Markdown ファイルで構成されています。侵害されたエージェントは自らのメモリを書き換え、タスクを暗黙的に実行しデータを外部へ送信する可能性があります。

インスタンス公開

ハイプ期には多くの OpenClaw エージェントがインターネットに公開され、セキュリティ対策なしで稼働していました。初期の ClawedBot は localhost トラフィックを合法とみなす自動承認機能を持っており、Censys で約21,000 の公開インスタンスが検出されました。BitSight では 1 月 27 日から 2 月 8 日までに 30,000 超の脆弱インスタンスが報告されています。

OWASP Top 10 へのマッピング

OWASP リスク	OpenClaw 実装
A01: Prompt Injection	Web 検索結果・メッセージ・第三者スキルで指示を注入し実行。
A02: Insecure Agent Tool Invocation	信頼できないメモリソースからのツール呼び出し。
A03: Excessive Agent Autonomy	ファイルシステムルートアクセス、認証情報、ネットワーク通信を許可。
A04: Missing Human‑in‑the‑Loop Controls	`rm -rf` など破壊的操作に承認なし。
A05: Agent Memory Poisoning	ウェブスクレイピング・ユーザーコマンド・スキル出力を同一メモリへ保存。
A06: Insecure Third‑Party Integrations	スキルは完全権限で実行され、サンドボックスなしに永続メモリを書き込む。
A07: Insufficient Privilege Separation	信頼できない入力と高特権アクションが同一メモリアクセスを共有。
A08: Supply Chain Model Risk	上流 LLM のファインチューニングデータや安全性の検証なし。
A09: Unbounded Agent‑to‑Agent Actions	将来のマルチエージェント版で制限なく相互通信可能。
A10: Lack of Runtime Monitoring & Guardrails	メモリ取得→推論→ツール呼び出し間にポリシー層がない。

OpenClaw エージェントを安全に運用するためのベストプラクティス

OpenClaw は「非決定的で人間らしい振る舞い」を備えているため、従来のアプリケーションとは異なるセキュリティ対策が必要です。

1. コンテナ化された隔離環境を使用

本番マシンや root 権限で実行しない。Docker コンテナ内で専用ユーザー（
```
openclaw
```
）として稼働させる。
```
/srv/openclaw/work
```
だけをマウントし、他は読み取り専用にする。
```
USER
```
指定と最低限の機能権限 (
```
CAP_NET_BIND_SERVICE
```
等) のみ付与。
```
/var/run/docker.sock
```
をマウントしない。
デフォルトの seccomp プロファイルを使用し、必要なら追加制限。

2. ネットワーク強化

OpenClaw のゲートウェイは
```
127.0.0.1
```
に限定。VPN や WireGuard/Tailscale を経由してのみアクセス。
ファイアウォールで SSH は自分の IP/VPN のみ許可し、OpenClaw ポートは外部に公開しない。
信頼できるプロキシを利用する場合は
```
gateway.trustedProxies
```
で実際のプロキシ IP を限定。

3. トークン管理とローテーション

各統合（Gmail, Calendar, Slack 等）は独立したアカウントとして扱う。
Composio のような安全な OAuth 管理ツールを利用し、ディスク上に平文秘密鍵を保存しない。
権限は読み取り専用で始め、必要に応じて書き込み権限を付与。
高特権アクセスは時間制限付きで付与し、終了後は直ちに撤回。

4. 観測性と監査

Composio のツール認証・スコープ設定で細粒度管理。
月次でスコープをレビューし、不要な統合は削除。
実行履歴を活用してツール使用の追跡。

5. スキル管理の安全化

公認または検証済みスキルのみ利用。
VirusTotal 等で事前にスキャンし、悪意あるコードを排除。
スキルディレクトリは読み取り専用に設定し、サンドボックス環境で実行。

TrustClaw：安全性を備えた代替案

TrustClaw は OpenClaw のコアを継承しつつ、主なセキュリティギャップを解消しています。

機能	効果
マネージド OAuth	ローカルにトークンを保存せず、Composio がライフサイクル管理。
スコープ付きアクセス	エージェントごとに細かな権限設定が可能。
リモートサンドボックス実行	ホストシステムからコード実行を分離。
ワンクリックゼロセットアップ	設定ミスを削減し、導入を容易化。
24/7 エージェント稼働	定期タスクが確実に実行される。
完全な監査機能	エージェントのすべてのアクションを追跡可能。

TrustClaw は自律 AI アシスタントとして、メールやカレンダーへのアクセスと安全な認証ストレージを備えています。必要に応じて特定の Docs, Sheets, Drive フォルダだけを共有し、それ以外は隔離されたままにできます。

結論

OpenClaw は強力で魅力的なコンセプトですが、プロンプトインジェクション、悪質スキル、過剰権限トークン、メモリ感染、公開インスタンスといった多数のセキュリティリスクを抱えています。
厳格な隔離・ネットワーク強化・スコープ管理・安全な統合運用（または TrustClaw への移行）を実施すれば、多くの脅威を軽減しつつ、自律 AI アシスタントの恩恵を享受できます。

同じ日のほかのニュース

一覧に戻る →

2026/03/23 3:23

**PC Gamer 推奨RSSリーダー（37 MBの記事でダウンロードが止まらない場合）** - **Feedly** - クラウドベースでデバイス間同期が可能。 - カテゴリー分けやタグ付け機能が充実しています。 - **Inoreader** - 高度なフィルタリングと検索機能を備えています。 - オフライン閲覧モードもサポートします。 - **The Old Reader** - シンプルで軽量、Googleアカウント連携が可能です。 - 共有リストやコメント機能があります。 - **NewsBlur** - AIによるトピック分類と学習機能を提供。 - モバイルアプリも充実しています。 - **Reeder (macOS/iOS)** - Appleデザインに合わせた直感的なUIです。 - 多数のリーダーサービスと連携可能です。 **注意点** - 大容量の記事をダウンロードし続ける場合は、**「オフライン保存」機能**をご利用ください。 - **キャッシュクリア**や**ブラウザ拡張機能無効化**で問題が解決することもあります。 - それでも解決しない場合は、PC Gamerのサポートへ問い合わせるか、別のリーダーを試してください。

## Japanese Translation: PC Gamerの記事は、読者に通知ポップアップ、背景を暗くするニュースレターオーバーレイ、そして少なくとも5つの閉じにくいバナー広告でページを襲撃していることを示しています。ウェルカムマットを回避した後でも、その広告は記事のタイトルとサブタイトルの横に残ります。初期ページロードは37 MBです；5分以内にサイトはさらに約0.5ギガバイトの広告素材をダウンロードします。NetNewsWire、Unread、Current、Reeder など多くの RSS リーダーはこれらの侵襲的要素をフィルタリングでき、よりクリーンな閲覧体験を提供します。これはユーザーが PC Gamer サイトの煩わしさを避けるために広告なしの RSS フィードに切り替える可能性があることを示唆しており、出版社は読者の関与を維持するために過度な広告戦術を減らす圧力を受けるかもしれません。

2026/03/23 4:02

「最適化のゴールドスタンダード：ローラーコースター・タイクーンの内部を探る」

## Japanese Translation: クリス・ソーヤーの *RollerCoaster Tycoon*（1999）は、ほぼすべてのコードをアセンブリで書き、細部にわたる低レベル最適化を施したことで、滑らかなゲームプレイのベンチマークを確立しました。金額は最大想定範囲にちょうど合ったデータ型（ショップ価格は1バイト、総公園価値は4バイト）で保存されており、後にオープンソース再実装 OpenRCT2 ではこれらを統一的な8バイト変数へ移行し、現代のCPUアーキテクチャに合わせました。乗算・除算の代わりにビットシフト（`<<`/`>>`）が使用されており、コンパイラが自動で行うはずだった処理を手動で実装しています。ゲームデザインの決定は性能制約と密接に結びついています。ソーヤーはデザイナー兼プログラマーとして、CPUフレンドリーな計算を優先する設計選択が可能でした。ゲストの移動はアトラクションへ向かう完全な経路探索ではなくランダムウォークに依存しており、多数のエージェントによる高価な計算を大幅に削減しました。パスファインディングは特定のシナリオ（例：乗物修理のメカニック、出口を探すゲスト）でのみ呼び出され、深さ制限が設けられています—デフォルトでは5つのジャンクション、条件に応じて7または8に増加し、フレームスパイクを回避します。混雑した道では同一タイルに複数のゲストが存在でき、衝突回避は完全に省かれ、近接による幸福度計算のみが影響を受けます。 OpenRCT2 はこの元のロジックをリバースエンジニアリングし、現代CPU向けに変数サイズを標準化し、パスファインダーの制限を拡張することで更新しました。これにより、レガシートリックが新しいハードウェアに適応できることが示されました。将来のアップデートでは、衝突チェックや厳密なデータサイズといった古い制約を緩和しつつ、今日のマシンで性能を損なわずにコア体験を保持することが可能です。これらの洞察は、デザイナーとプログラマーの緊密な協働と意図的な低レベル最適化が、小規模チームでも高性能ゲームを構築できることを示しており、大手スタジオも採用すべきアプローチです。 ## Text to translate (including missing points):** Chris Sawyer’s *RollerCoaster Tycoon* (1999) set a benchmark for smooth gameplay by writing almost all of its code in Assembly and applying meticulous low‑level optimizations. Money values were stored in data types sized exactly to their maximum expected range (1‑byte for shop prices, 4‑bytes for total park value), and the original engine later shifted these to uniform 8‑byte variables in the open‑source reimplementation OpenRCT2 to match modern CPU architecture. Bit shifting (`<<`/`>>`) was used instead of multiplication/division by powers of two, a manual trick that compilers no longer perform automatically. Game‑design decisions were tightly coupled with performance constraints: Sawyer served as both designer and programmer, allowing design choices to favor CPU‑friendly calculations. Guest movement relied on random walking rather than full pathfinding toward attractions, drastically reducing expensive calculations for thousands of agents. Pathfinding was invoked only in specific scenarios (e.g., mechanics repairing rides, guests seeking exits) and had a depth limit—default 5 junctions, increased to 7 or 8 under certain conditions—to avoid frame‑spikes. Overcrowded paths allowed multiple guests on the same tile; collision avoidance was omitted entirely, with only happiness calculations affected by proximity. OpenRCT2 reverse‑engineered this original logic and modernized it—standardizing variable sizes for current CPUs and extending pathfinder limits—showing how legacy tricks can be adapted to new hardware. Future updates could relax some of these old constraints (such as collision checks or strict data sizing) without harming performance on today’s machines while still preserving the core experience. These insights underscore that close collaboration between designers and programmers, coupled with deliberate low‑level optimization, enables small teams to build high‑performance games—an approach larger studios might emulate.

2026/03/23 0:16

**バージョン管理の未来** バージョン管理は、従来型のリポジトリやブランチモデルを超えて進化しています。新たに浮上している動向としては、AI 主導の変更分析、分散したチーム間でのリアルタイム協働、および継続的デリバリー・パイプラインとの緊密な統合が挙げられます。コードベースがより大規模かつ複雑化するにつれて、これらの革新はワークフローを合理化し、マージコンフリクトを減少させ、全体的なソフトウェア品質を向上させることを約束しています。

## Japanese Translation: **Manyana** は、Conflict‑Free Replicated Data Types（CRDTs）がバージョン管理にどのように利用できるかを示すデモプロジェクトです。ユーザー体験を向上させます。ファイルは *weave* として表現されます——1 つのデータ構造が、追加または削除された各行とメタデータを記録し、行順序を永続化し、同時挿入に対してマージ全体で一貫した順序を提供します。 CRDTs は順序非依存ですので、マージが失敗することはありません。衝突はファイルの同じ部分を編集したときだけ発生し、不透明なマージブロブではなく明確な競合マーカーが生成されます。システムはまた、リベースが履歴を破壊せずに行えることも示しています：コミットは新しいベース上で再実行され、「プライマリー・アニサスター」注釈によって完全な祖先関係が保持されます。チェリーピッキングとローカル Undo はまだ実装されていませんが、470 行の Python デモ（パブリックドメイン）は、CRDTs がバージョン管理における難しい UX 問題を解決し、現在のツールよりも明確な競合表示を提供できることを示しています。