ハクソク

世界を動かす技術を、日本語で。

OpenClawは私を騙せない。私はMS-DOSを覚えている

2026年4月20日原文(flyingpenguin.com)

概要

  • MS-DOS時代 のセキュリティ欠如と現代のエージェントゲートウェイの問題点の類似性を指摘
  • NVIDIAのNemoClawチュートリアル と自身のWirken.AIアーキテクチャの比較
  • Wirken.AIでは プロセス分離・厳格な権限管理 を重視
  • 監査ログとサンドボックス による安全性の実践例を提示
  • 歴史から学び、より堅牢なエージェント設計の必要性を強調

MS-DOS時代のセキュリティ問題と現代の教訓

  • MS-DOS では、プログラムがカーネルやディスクへ自由にアクセスできたため、セキュリティが皆無
  • Unix は初期からプロセス分離・仮想メモリ・ACLなど、堅牢な分離機構を持っていた
  • DOSの人気と脆弱性 :Wal-MartのPOS端末が全てMS-DOSで動作し、1つのパスワードで全データにアクセス可能というエピソード
    • 顧客情報が 無防備に保存 され、2006年の情報漏洩事件に繋がった
  • 教訓 :表面的なラッパーやシェルの変更ではなく、根本的なアーキテクチャの見直しが必要

エージェントゲートウェイの現状とリスク

  • 現代のエージェントゲートウェイ も、MS-DOS時代のように「1プロセス・1トークン」で全権限を持つ構造が多い
  • セキュリティ境界の曖昧さ :モデルにexecツールを渡し、全てを信頼してしまう危険性
  • NVIDIA DGX Spark によるOpenClaw/NemoClawのセルフホスト型エージェント環境の構築例
    • モデルサービングからTelegram連携まで、ランタイム全体を制御可能
    • セキュリティ対策として、ネットワーク名前空間やTUIによる通信許可などを導入

Wirken.AIのアーキテクチャと工夫

  • 各チャネルを独立プロセス化、Ed25519による識別子付与
  • Vaultはアウトオブプロセス、推論はループバックで完結
  • Shell exec はツールレイヤーでハードニングされたコンテナ内で実行
    • cap_drop ALL、no-new-privileges、read-only rootfs、/tmpは64MB tmpfs、ネットワーク無効
  • 16種の高リスクコマンドは毎回プロンプト、他は初回のみ30日間記憶
  • 監査ログ はハッシュチェーン化し、各操作・拒否を証跡として残す

NemoClawとWirken.AIのステップ比較

  • NemoClaw :Dockerコンテナ内でエージェント実行、Ollamaを0.0.0.0バインド、チャット経由ペアリング、TUIで通信許可
  • Wirken.AI :ホストプロセスで動作、Ollamaは127.0.0.1、VaultでBotトークン管理、アクション単位で権限管理、全てのコマンド実行は監査・サンドボックス制御

監査ログの実例

  • curlコマンド拒否の記録 :Tier3未承認のため実行不可、監査チェーンに記録
  • shコマンドのサンドボックス実行 :read-only rootfsにより書き込み拒否、/tmpとworkspaceのみ書き込み可
  • 監査チェーン :全イベントがハッシュ連鎖され、リプレイ検証可能

セキュリティ境界の再考

  • NemoClawの妥協点 :サンドボックスがloopbackに届かないため0.0.0.0バインド、チャット経由認証、コンテナ全体ラップ、netns境界で許可制御
  • Wirken.AIの提案 :プロセス・権限・監査を細粒度で分離し、歴史的知見を活かした設計
  • Unixの成功例 :1973年Unixの分離思想、Linuxの普及、Microsoftの認識転換
  • 教訓の重要性 :過去の失敗を繰り返さず、より安全なエージェント設計を目指すべき

まとめと呼びかけ

  • Wirken.AI は歴史を踏まえた安全設計の一例
  • 同じ課題に取り組む開発者との議論・協力を歓迎
  • リポジトリ :wirken.ai

Hackerたちの意見

エージェント全体をサンドボックス化するのは不十分だと思う。GitHubのクレデンシャルをgh CLIと共有するのはいいけど、npmとは共有したくないな。もっと細かいサンドボックス化と権限設定が必要だと思うし、このプロジェクトはじっくり見てみる価値がありそう。 "claw" ワークフローには興味ないけど、安全な "code" 環境として使えるなら、それは嬉しいな。

エージェントがあなたのGHクレデンシャルを使って、すべてのプロジェクトを消したり、ゴミを大量に出したりしたら、この分離はあなたを救ってくれないよ。

https://sleepingrobots.com/dreams/stop-using-ollama/

この議論はまた技術的負債についてだと言えるかも。OpenClawとMSDOSは、手抜きをして何十年も学んできた教訓を無視して、来年には準備できていたかもしれないものを今届けている。MSDOS(またはその前身のQDOS)は「安い」マイクロコンピュータハードウェアで動くことを意図していて、いじり好きな人たちにアピールしていた。OpenClawはYOLOやFOMOの感情に訴えることを目指している。もちろん、どちらも最終的な現実世界の文脈に進化することはできないだろうけど、しばらくの間(意図したよりもずっと長く)、そういう状態が続くんだろうね。

OpenClawは避けられないものだった。LLMよりも前からあった明らかなアイデアだし、モデルや価格が追いつくのにこんなに時間がかかった。あまり好きな言葉じゃないけど、「プロダクトモデルフィット」の明確な例があるとしたら、それはOpenClawだね。ただ、実際にそれを可能にしたのはClaude Codeで導入されたサブスクリプション価格だったと言える。以前は、人々はトークンに対して非常に保守的だったから。要するに、OpenClawは運良くバイラルになった最初のものに過ぎない。これがなければ、同等のものが出てきただろうね。初期のLLM時代のLangChainみたいに。

それはクリエイターをOpenAIの仕事に引き上げるのに役立った。Googleが法的および安全性の問題を心配している間に、OpenAIが現代のLLMを立ち上げたのと同じYOLOの態度だね。自由市場は保守的で責任ある考え方をあまり報いることはない。それが政府の規制が必要な理由だよ。

OpenClawは、Facebookのモットー「急いで動き、物を壊せ」の究極の例だね。

MSDOSや同様のシングルユーザーOSは、元々ネットワーク接続されたコンピュータや永続ストレージ用に設計されてなかったんだ。制約が全然違う。

"Worse is Better"がまた顔を出したね。

つまり、マーケティングの策略だね。だからいいものが手に入らないんだよ。

この記事とはあまり関係ないけど、大学の最初のアセンブラの授業でMotorola 680x0のアセンブリを習ったんだ。コンピュータは持ってなかったけど(ほとんどの人がそうだった)、寮に使えるMacが一台あったから、それで課題をやった。問題は、ちょうど学び始めた頃で、そのMacはSystem 7を動かしてた。MS-DOSと同じく、メモリ保護がなかったから、ループの最後で逆のテストをすると、簡単にシステムメモリを好きなバイトで上書きできちゃった。たぶん、そのコンピュータを半ダースはハードロックさせたと思う。電源を切って、外付けの20MB SCSI HDDからゆっくり再起動するのを待ってた。結局、コードを印刷してトレースすることにした。明らかなミスがない状態でコードを通過できたら、「本物」の実行を試みる感じ。今でも、自動メモリ管理はちょっと贅沢に感じる。

このOpenClawの盛り上がりが理解できない。人々がバイブコードするとき、通常の目標は何かをすることだと思う。OpenClawを使っている人たちの目標は、どうも… OpenClawを使うことのように見える。Mac Miniのコスト、安全性(メールを削除したり)、セキュリティ(litelmm攻撃)の代償を払って。

Hacker Newsで議論の続きを見る