モジュール 9: セキュリティ
学習目標
本モジュールを修了すると、以下のことが可能になります:
- OpenClaw のセキュリティアーキテクチャと脅威モデルを理解する
- CVE-2026-25253 脆弱性の技術的詳細と修正方法を把握する
- ClawHavoc 攻撃事件の始末と教訓を理解する
- 完全なセキュリティ強化措置を実装する
- Podman でコンテナ分離を行う
コアコンセプト
重要なセキュリティデータ
| 指標 | データ | 出典 |
|---|---|---|
| 公開ネットワークに露出した OpenClaw インスタンス | 135,000+ | Bitdefender 2026 監査レポート |
| ハッカーに侵害されたインスタンス | 30,000+ | セキュリティコミュニティ統計 |
| CVE-2026-25253 影響バージョン | v0.1.0 ~ v1.3.2 | NVD |
重大セキュリティ警告
OpenClaw インスタンスが 0.0.0.0:18789(127.0.0.1:18789 ではなく)にバインドされている場合、誰でもネットワーク経由でエージェントにアクセスし、任意のコマンドを実行できます。
CVE-2026-25253:リモートコード実行脆弱性
深刻度:Critical (CVSS 9.8)
この脆弱性は OpenClaw Gateway の REST API に存在し、認証されていない攻撃者が特殊な HTTP リクエストを通じてエージェントホスト上で任意のコードを実行できます。
セキュリティ強化チェックリスト
ネットワークセキュリティ
- API を
127.0.0.1にバインド(0.0.0.0ではない) - API Key 認証を有効化
- レート制限を設定
- TLS(HTTPS)を有効化
- ファイアウォールでポート 18789 への外部アクセスをブロック
コンテナ分離
- Podman rootless モードを使用
-
--cap-drop=ALL -
--read-onlyファイルシステム -
--security-opt=no-new-privileges
スキルセキュリティ
- インストール前スキャンを有効化
- VirusTotal 統合を設定
- インストール済みスキルを定期的に審査