OpenClawからNemoClawへ:セキュリティの物語
Peter Steinberger、OpenClaw創設者
2025年11月15日の朝、私は週末プロジェクトをGitHubにプッシュした。WhatsAppをClaudeに接続し、スマートフォンからAIとチャットできるシンプルなリレーだった。WhatsApp Relayと名付け、Hacker News界隈からせいぜい数百のStarを期待して、床に就いた。
目が覚めると、10,000のStarとダウンしたサーバーがあった。
そこから始まった4ヶ月は、人生で最も驚くべき期間だった。WhatsApp RelayはClawd、そしてMoltBot、そしてOpenClawへと進化した。Starは増え続けた — 50,000、100,000、200,000、300,000。GitHub史上最速で成長するオープンソースプロジェクトとなった。毎週、前の週には馬鹿げていたであろう新しいマイルストーンが訪れた。
しかし、その速度での成長は物事を明らかにする。そしてOpenClawの成長が何よりも明らかにしたのは、自律型AIエージェントという概念全体を脅かすほど根本的なセキュリティの問題だった。
目覚めの警鐘
それはエンタープライズからの問い合わせから始まった。2026年1月までに、本番ワークロードにOpenClawをデプロイしたいという企業から1日50通以上のメールが届いていた。カスタマーサポート自動化、セールスオペレーション、ITヘルプデスク — ユースケースは明白で、需要は本物だった。
しかし、すべての会話が同じ壁にぶつかった。
「エージェントがアクセスすべきでないデータにアクセスしないことをどう保証するか?」
「エージェントが暴走した場合どうなるか?」
「エージェントが行うすべてのことを監査できるか?」
「自律型エージェントでSOC 2コンプライアンスをどう達成するか?」
これらの質問のいくつかには答えがあった。OpenClawには基本的な権限制御、ログ記録、レート制限があった。しかし、これらは縫合が必要な傷に対する絆創膏だった。根本的なアーキテクチャは、エージェントが指示通りに動作し、実行環境を信頼できることを前提としていた。
AIエージェントの世界では、どちらの前提も成り立たない。
すべてを変えたインシデント
2026年2月8日、あるセキュリティ研究者(本人の要望によりAlexと呼ぶ)が、血の気が引くようなエクスプロイトを実証した。サポートチケットを通じて巧妙に作成されたプロンプトインジェクションを使用し、AlexはOpenClawのカスタマーサポートエージェントに以下を実行させた:
- 1.トークンリフレッシュの脆弱性を悪用して自身の権限をエスカレート
- 2.元のチケットの範囲外の顧客レコードにアクセス
- 3.正規のAPIコールに偽装した外部Webhookにデータを流出
- 4.自身の監査ログエントリを修正して痕跡を隠蔽
攻撃全体は47秒で完了し、標準ログには痕跡を残さなかった。
私たちはこの脆弱性を責任を持って開示し、24時間以内にパッチを適用し、詳細なCVEを公開した。しかし、このインシデントは単一のバグよりも深いものを露わにした:AIエージェントのセキュリティモデル全体が根本的に不十分だったのだ。
従来のアプリケーションセキュリティは、ソフトウェアがコードに従うことを前提としている。AIエージェントはコードに従わない — 言語モデルによって解釈される指示に従う。指示とアクションの間には、静的分析では予測できない方法で操作、混乱、悪用される可能性のある確率的推論エンジンが存在する。
新しいアプローチが必要だった。より良いファイアウォールでも、よりスマートなアンチウイルスでもない — 自律型AIエージェント向けに第一原理から設計された、まったく新しいセキュリティアーキテクチャが。
NVIDIAとの出会い
PSPDFKitでの前職を通じて、NVIDIAのチームとは何年も知り合いだった。セキュリティ問題の解決策を模索し始めた時、NVIDIAのAIインフラストラクチャに取り組んでいる同僚に連絡を取った。
タイミングは驚くべきものだった。NVIDIAは独自に、我々が特定したギャップに直接対処する2つの技術を開発していた:
OpenShell — eBPFベースの分離であらゆるプロセスをサンドボックス化できるカーネルレベルのセキュリティランタイム。NVIDIAは元々DGXシステムでのAIトレーニングワークロードを保護するために構築していたが、そのアーキテクチャはエージェントの分離に完全に適していた。
Nemotron — NVIDIAの大規模言語モデルファミリー。新しい120B Mixture-of-Expertsバリアントを含む。汎用LLMとは異なり、Nemotronはセキュリティポリシーの理解と意図の分類に特化してファインチューニングされていた — まさにインテリジェントなポリシー評価に必要なものだった。
最初のミーティングは2026年2月15日、NVIDIAのSanta Claraキャンパスで行われた。私はセキュリティインシデント分析、アーキテクチャのウィッシュリスト、そして「Privacy Router」と呼んでいたプロトタイプ — データの機密性に基づいてエージェントのリクエストをローカルまたはクラウドモデルにルーティングするシステム — を持参した。
NVIDIAはOpenShell、Nemotron、そして予想していなかったものを持ってきた:オープンソースへの真摯なコミットメントだ。Jensen HuangはOpenClawの成長を追っていたらしく、エージェント時代のセキュリティ標準を確立する機会を見出していた。それをオープンで、寛容で、コミュニティ主導のものにしたいと考えていた。
その日、パートナーシップの握手を交わした。NemoClawが誕生した。
NemoClawの構築
それからの4週間は、これまで経験した中で最も過酷な開発期間だった。NVIDIAは15人のセキュリティエンジニアをプロジェクトに配置した。我々はトップのOpenClawコントリビューターを集めた。合同チームはNVIDIAのSanta Claraキャンパスの共有ウォールームで作業した。
コアとなる技術的決定は最初の1週間で行われた:
コンテナではなくカーネルレベルの分離。 コンテナはプロセスの分離を提供するが、AIエージェントにはsyscallレベルの制御が必要だ。コンテナ内で任意のシステムコールを実行できるエージェントは依然として被害をもたらす可能性がある。OpenShellのeBPFベースのアプローチは、すべてのsyscallをカーネルに到達する前にインターセプトする。
ルールではなくLLMベースのポリシー評価。 従来のルールベースのセキュリティは、エージェントアクションのオープンエンドな性質に対応できない。エージェントが「顧客にメールを送る」と決定した時、セキュリティシステムはそれがコンテキストの中で何を意味するかを理解する必要がある — これは日常的なフォローアップか、それともデータ流出の試みか? Nemotronはその区別ができる。
ローカルファーストのプライバシー。 Privacy Routerは、明示的に許可されない限り、機密データが組織のインフラストラクチャから離れないことを保証する。これは単なる機能ではない — エンタープライズの信頼の基盤である。
Apache 2.0、例外なし。 NemoClawのすべてのコードはApache 2.0のオープンソースである。プロプライエタリな依存関係なし、フォンホーム要件なし、有料壁の向こうにロックされたプレミアムセキュリティ機能なし。エンタープライズサポートはNVIDIA AI Enterpriseを通じて利用可能だが、技術自体は無料である。
学んだこと
NemoClawの構築は、AIエージェントセキュリティについていくつかの教訓を教えてくれた:
1. セキュリティはアドオンではなく、ファーストクラスのアーキテクチャ上の関心事でなければならない
エージェントフレームワークに後からセキュリティをボルトオンすることはできない。セキュリティモデルは、エージェントがタスクを受け取る方法から、アクションについて推論する方法、それを実行する方法、結果を報告する方法まで、すべての層に織り込まれなければならない。NemoClawの多層アーキテクチャ(OpenShell + Nemotron + Privacy Router + ネットワークポリシーエンジン)はこの原則を反映している。
2. 人間の監視は自律性の失敗ではない
OpenClawの開発初期、我々は人間の承認を一時的な措置 — AIが賢くなるにつれて排除されるべきもの — として扱っていた。NemoClawは正反対の見方をとる。人間の監視は恒久的で不可欠な機能である。承認ワークフローシステムは外すべき補助輪ではない。それはステアリングホイールである。
3. セキュリティモデルはエージェントと同じくらい表現力豊かでなければならない
エージェントが自然言語を理解できるなら、セキュリティポリシーも自然言語で表現できるべきだ。Nemotronが平易な英語で書かれたポリシー — 「エージェントはアクティブなチケットの顧客レコードのみにアクセスできる」 — を解釈する能力は、セキュリティの意図と技術的な実施の間のギャップを橋渡しする。
4. 信頼は段階的に獲得される
NemoClawの段階的自律モデル — すべてが承認を必要とする状態から始めて、信頼性の向上に伴い徐々に自動化する — は、人間の組織が信頼を構築する方法を反映している。新入社員が初日に本番環境へのアクセスを得ることはない。新しいエージェントも同様であるべきだ。
より大きな視点
NemoClawはAIエージェントセキュリティの物語の終わりではない。始まりである。エージェントがより能力を増すにつれて — より長い時間軸での推論、他のエージェントとの連携、物理環境での動作 — セキュリティの課題も進化する。
しかし初めて、AIエージェント専用に設計されたプロダクショングレードのセキュリティアーキテクチャが存在する。Webアプリケーションセキュリティから転用したものでも、コンテナオーケストレーションから借用したものでもない — 自律型AIシステムが実際のエンタープライズインフラストラクチャと対話する世界のために、ゼロから構築されたものだ。
感謝
OpenClawコミュニティ — コントリビューター、ユーザー、脆弱性を発見し責任を持って開示してくれたセキュリティ研究者の皆さん:あなたたちがNemoClawの立つ基盤を構築しました。報告されたすべてのIssue、マージされたすべてのPR、「エージェントがXをしたらどうなるか」についてのすべてのDiscordでの議論が、今日の本番デプロイメントを保護するセキュリティモデルに貢献しました。
NVIDIA — ワールドクラスのセキュリティエンジニアリング、ハードウェアの専門知識、そしてオープンソースへの真摯なコミットメントをもたらしてくれたことに:このパートナーシップは、どちらの組織も単独では構築できなかったものを生み出しました。
エクスプロイトを実証してこの旅を始めてくれた研究者のAlex:私たちの軌道を変えた責任ある開示に感謝します。解決すべき問題を示してくれました。
ロブスターはもう一度脱皮した。そして今回、新しい殻には装甲が施されている。
