OpenClaw Insider が構築する、プロジェクトが未実装だったエンタープライズ・セーフティ・レイヤー

要約 - Tank OS は OpenClaw をブート可能なシステムイメージとしてパッケージ化する。 - この実装により、各エージェントは独自の認証情報を持つ隔離されたコンテナ内で実行され、どのインスタンスもホストマシンや他のエージェントにアクセスできない。 - セキュリティ監査により、ClawHub アドオンの 12～20% が悪意のあるものとして指摘された。 Red Hat のプリンシパルソフトウェアエンジニアである Sally O'Malley は、ほとんどの企業 IT チームがまだ認識していない問題を解決するために週末を費やした。その成果が Tank OS である。これは、AI エージェントのデプロイを容易にする注目の新ソフトウェア OpenClaw を、安全で自己完結型の環境内にパッケージ化し、クラウドサーバー、仮想マシン、物理ハードウェアなど、あらゆるマシンにプッシュ可能なブート準備済みのシステムイメージとして提供するオープンソースツールだ。言い換えれば、あなた（またはあなたのエージェント）が失敗した場合でも、このレベルの隔離があれば被害を「許容範囲」内に抑えることができる。各コンピュータに手動で OpenClaw をインストールし、誰かが正しく設定してくれることを期待する代わりに、オペレーティングシステムとエージェントの完全なスナップショットである単一のイメージを公開すれば、そこから起動するすべてのマシンが全く同じセットアップになる。アップデートも同様で、イメージを入れ替えて再起動するだけで完了する。手動でのパッチ適用は不要だ。セキュリティの側面こそが、Tank OS がその名の由来となっている部分である。各 OpenClaw インスタンスはコンテナ内で実行される。これはコンピュータ内部の壁で囲まれた箱のようなもので、その境界の外側に到達することはできない。重要な点として、O'Malley は Red Hat で開発されたコンテナツールである Podman を使用しており、これは管理者権限なしで実行される。つまり、コンテナ内で何らかの問題が発生しても、マシンの他の部分に影響を与えることはできない。 OpenClaw をメールや Slack などのサービスに接続し、マシンがそれらのサービスと通信できるようにするための「パスワード」である API キーは、インスタンスごとに個別に保存される。あるエージェントが他のエージェントの認証情報を見ることはできない。コンテナ内のいかなるものも、ホストシステムに到達することはできない。 O'Malley 自身も OpenClaw のメンテナーであり、作成者である Peter Steinberger と共に、どの機能をリリースし、どのバグを修正するかを決定する役割を担っている。彼女は特にエンタープライズでのユースケースと Red Hat の Linux エコシステムに注力している。Tank OS はサードパーティのパッチではない。プロジェクト内部の人間が、エンタープライズ向けの堅牢化が本来向かうべき方向だと考えていることを反映したものだ。エージェント型 AI 時代のセキュリティは極めて重要である。現在、ほぼすべての人がこれらのツールを使用しているが、それらが実際にどのように動作しているのかを理解している人は少ない。これは、技術に精通したハッカーや攻撃者にとって格好の標的となる。例えば、DepthFirst のセキュリティ研究者である Mav Levin は、1 月下旬に CVE-2026-25253 を公開した。これは、世界中のセキュリティ研究者が使用する深刻度スケールで 10 段階中 8.8 と評価された脆弱性である。これはワンクリック攻撃であり、OpenClaw が実行されている状態で誤ったウェブページにアクセスするだけで、攻撃者にログイン認証情報を渡し、コンピュータの完全な制御権を奪われる可能性があった。修正プログラムは 1 月 30 日にリリースされたが、それ以前には 17,500 以上の公開インスタンスが脆弱な状態にあった。このリポジトリは Red Hat の顧客企業を対象としているが、コンテナ内でエージェントを実行するという考え方は、個人ユーザーにとっても有益なアドバイスとなるだろう。「OpenClaw における私の役割は、純粋に私の関心事です」と O'Malley は TechCrunch に語った。「何百万もの自律型エージェントが互いに通信するようになったとき、それがどのような姿になるのかを考えています」 Tank OS は現在 github.com/LobsterTrap/tank-os で入手可能である。