OpenClawは私を騙せない。私はMS-DOSを覚えている

13時間前原文(www.flyingpenguin.com)

概要

MS-DOS時代のセキュリティ欠如と現代のエージェントゲートウェイの問題点の類似性を指摘
NVIDIAのNemoClawチュートリアルと自身のWirken.AIアーキテクチャの比較
Wirken.AIではプロセス分離・厳格な権限管理を重視
監査ログとサンドボックスによる安全性の実践例を提示
歴史から学び、より堅牢なエージェント設計の必要性を強調

MS-DOS時代のセキュリティ問題と現代の教訓

MS-DOSでは、プログラムがカーネルやディスクへ自由にアクセスできたため、セキュリティが皆無
Unixは初期からプロセス分離・仮想メモリ・ACLなど、堅牢な分離機構を持っていた
DOSの人気と脆弱性：Wal-MartのPOS端末が全てMS-DOSで動作し、1つのパスワードで全データにアクセス可能というエピソード
- 顧客情報が無防備に保存され、2006年の情報漏洩事件に繋がった
教訓：表面的なラッパーやシェルの変更ではなく、根本的なアーキテクチャの見直しが必要

エージェントゲートウェイの現状とリスク

現代のエージェントゲートウェイも、MS-DOS時代のように「1プロセス・1トークン」で全権限を持つ構造が多い
セキュリティ境界の曖昧さ：モデルにexecツールを渡し、全てを信頼してしまう危険性
NVIDIA DGX SparkによるOpenClaw/NemoClawのセルフホスト型エージェント環境の構築例
- モデルサービングからTelegram連携まで、ランタイム全体を制御可能
- セキュリティ対策として、ネットワーク名前空間やTUIによる通信許可などを導入

Wirken.AIのアーキテクチャと工夫

各チャネルを独立プロセス化、Ed25519による識別子付与
Vaultはアウトオブプロセス、推論はループバックで完結
Shell execはツールレイヤーでハードニングされたコンテナ内で実行
- cap_drop ALL、no-new-privileges、read-only rootfs、/tmpは64MB tmpfs、ネットワーク無効
16種の高リスクコマンドは毎回プロンプト、他は初回のみ30日間記憶
監査ログはハッシュチェーン化し、各操作・拒否を証跡として残す

NemoClawとWirken.AIのステップ比較

NemoClaw：Dockerコンテナ内でエージェント実行、Ollamaを0.0.0.0バインド、チャット経由ペアリング、TUIで通信許可
Wirken.AI：ホストプロセスで動作、Ollamaは127.0.0.1、VaultでBotトークン管理、アクション単位で権限管理、全てのコマンド実行は監査・サンドボックス制御

監査ログの実例

curlコマンド拒否の記録：Tier3未承認のため実行不可、監査チェーンに記録
shコマンドのサンドボックス実行：read-only rootfsにより書き込み拒否、/tmpとworkspaceのみ書き込み可
監査チェーン：全イベントがハッシュ連鎖され、リプレイ検証可能

セキュリティ境界の再考

NemoClawの妥協点：サンドボックスがloopbackに届かないため0.0.0.0バインド、チャット経由認証、コンテナ全体ラップ、netns境界で許可制御
Wirken.AIの提案：プロセス・権限・監査を細粒度で分離し、歴史的知見を活かした設計
Unixの成功例：1973年Unixの分離思想、Linuxの普及、Microsoftの認識転換
教訓の重要性：過去の失敗を繰り返さず、より安全なエージェント設計を目指すべき

まとめと呼びかけ

Wirken.AIは歴史を踏まえた安全設計の一例
同じ課題に取り組む開発者との議論・協力を歓迎
リポジトリ：wirken.ai

Hackerたちの意見

エージェント全体をサンドボックス化するのは不十分だと思う。GitHubのクレデンシャルをgh CLIと共有するのはいいけど、npmとは共有したくないな。もっと細かいサンドボックス化と権限設定が必要だと思うし、このプロジェクトはじっくり見てみる価値がありそう。 "claw" ワークフローには興味ないけど、安全な "code" 環境として使えるなら、それは嬉しいな。

└

エージェントがあなたのGHクレデンシャルを使って、すべてのプロジェクトを消したり、ゴミを大量に出したりしたら、この分離はあなたを救ってくれないよ。

https://sleepingrobots.com/dreams/stop-using-ollama/

この議論はまた技術的負債についてだと言えるかも。OpenClawとMSDOSは、手抜きをして何十年も学んできた教訓を無視して、来年には準備できていたかもしれないものを今届けている。MSDOS（またはその前身のQDOS）は「安い」マイクロコンピュータハードウェアで動くことを意図していて、いじり好きな人たちにアピールしていた。OpenClawはYOLOやFOMOの感情に訴えることを目指している。もちろん、どちらも最終的な現実世界の文脈に進化することはできないだろうけど、しばらくの間（意図したよりもずっと長く）、そういう状態が続くんだろうね。

└

OpenClawは避けられないものだった。LLMよりも前からあった明らかなアイデアだし、モデルや価格が追いつくのにこんなに時間がかかった。あまり好きな言葉じゃないけど、「プロダクトモデルフィット」の明確な例があるとしたら、それはOpenClawだね。ただ、実際にそれを可能にしたのはClaude Codeで導入されたサブスクリプション価格だったと言える。以前は、人々はトークンに対して非常に保守的だったから。要するに、OpenClawは運良くバイラルになった最初のものに過ぎない。これがなければ、同等のものが出てきただろうね。初期のLLM時代のLangChainみたいに。

└

それはクリエイターをOpenAIの仕事に引き上げるのに役立った。Googleが法的および安全性の問題を心配している間に、OpenAIが現代のLLMを立ち上げたのと同じYOLOの態度だね。自由市場は保守的で責任ある考え方をあまり報いることはない。それが政府の規制が必要な理由だよ。

└

OpenClawは、Facebookのモットー「急いで動き、物を壊せ」の究極の例だね。

└

MSDOSや同様のシングルユーザーOSは、元々ネットワーク接続されたコンピュータや永続ストレージ用に設計されてなかったんだ。制約が全然違う。

└

"Worse is Better"がまた顔を出したね。

└

つまり、マーケティングの策略だね。だからいいものが手に入らないんだよ。

この記事とはあまり関係ないけど、大学の最初のアセンブラの授業でMotorola 680x0のアセンブリを習ったんだ。コンピュータは持ってなかったけど（ほとんどの人がそうだった）、寮に使えるMacが一台あったから、それで課題をやった。問題は、ちょうど学び始めた頃で、そのMacはSystem 7を動かしてた。MS-DOSと同じく、メモリ保護がなかったから、ループの最後で逆のテストをすると、簡単にシステムメモリを好きなバイトで上書きできちゃった。たぶん、そのコンピュータを半ダースはハードロックさせたと思う。電源を切って、外付けの20MB SCSI HDDからゆっくり再起動するのを待ってた。結局、コードを印刷してトレースすることにした。明らかなミスがない状態でコードを通過できたら、「本物」の実行を試みる感じ。今でも、自動メモリ管理はちょっと贅沢に感じる。

このOpenClawの盛り上がりが理解できない。人々がバイブコードするとき、通常の目標は何かをすることだと思う。OpenClawを使っている人たちの目標は、どうも… OpenClawを使うことのように見える。Mac Miniのコスト、安全性（メールを削除したり）、セキュリティ（litelmm攻撃）の代償を払って。

└

OpenClawは、究極の任意コード実行だ。

└

OpenClawって、ソフトウェアのクリックファームみたいに聞こえるな？

└

俺にとって、OpenClawの「セールスポイント」は「コンピュータを使い方を学ばなくても、コンピュータに色々やらせられる」って感じなんだけど、実際には超複雑で根本的に信頼性のないシステムを学ばなきゃいけなくなるっていうね。使いやすさの幻想に過ぎない。スレッドのリンク記事はMS-DOSのセキュリティを比較してるけど、別のレベルでも比較が成り立つ。俺はMS-DOSを覚えてる。家庭用/オフィス用コンピュータのアイデアが新しかった頃のこと。普通の人たちがこれらのコンピュータの使い方を学んでいた時代。コンピュータが「使いにくい」っていう見せかけや、LLMが不可能を可能にしているっていうのは、歴史を無視したナンセンスだ。「数ヶ月かかっただろう！」なんて言うけど、実際はPythonの基礎を一日か二日学べば済む話だよ。

└

アイデアは、バーチャルパーソナルアシスタントを手に入れることだね。SiriやGeminiみたいな感じだけど、君のアカウントやコンピュータにアクセスできるやつ。（まあ、アクセスを許可したものに限るけど。）ノートパソコンにアクセスできる執事を持つようなもんだ。俺が理解している限り、主な魅力は結果じゃなくて、そのAIパーソナルアシスタントを趣味として作ることにあるみたい。

└

VPSにOCを入れてるよ。今のところ、Claude以外のモデルで遊ぶ手段になってる。OCをコントロールできるようにしようとしてるけど、今のところ200ドルくらい使ってもまだコントロールできてない。数週間ごとにACPの暴走が始まって、隠れたサブエージェントに無駄にクレジットを使っちゃう。だけど、この馬を従わせるつもりだ。バグだらけのボスがいる楽しいゲームみたいなもんだから。

└

1980年代初頭、人々はAtariやCommodore 64のようなホームコンピュータを何に使っていたのでしょうか？主にゲームをするためです。オタクたちは、自分のコンピュータを使うことを目的にしていたようです。でもそれだけではなく、学ぶこともありました。だからこそ、本当に役立つコンピュータを買えるようになったとき、役立つプログラムを書いたり、管理したりできる人がいたのです。10年ほど前の3Dプリンターも同じようなものでした。人々は何に使っていたのでしょうか？ほとんどは、必要のないティーポットやウサギ、あるいは別の3Dプリンターを印刷するために、何日もハードウェアやソフトウェアをいじっていました。これも似たようなことになるかもしれません。OpenClawのようなセットアップが、最終的には普通の人でも本当に役立つ安全なものになるかもしれません。でも、リスクはその時よりもはるかに大きいです。必要な専門知識を得るための安全な方法もあると思います。

└

基本的には、LLMの魔法を使った再構築されたn8nのようなローコードプラットフォームです。デジタル接着剤ですね。だから、ユーザーが必要とするものを接着するための答えが何でもあり、まとまった使い方のストーリーがないんです。

└

ちょっと同意するな。実際に価値を得てる人たちは、仕事（受信トレイの整理、定期的なチェックイン、管理ループ）に使ってるみたいで、遊びで設定した人たちじゃないね。atmita.comをゼロから作ったんだけど、クラウドホスティングの形で、OpenClawをベースにしてないから、Mac Miniを世話する必要もないし、セーフモードでは送信や削除がアカウントに届く前に電話で承認されるんだ。

DOSには特定の保護機能がなかったけど、それはターゲットにしていたハードウェアがその保護機能を持っていなかったからだ。同じマシンでのUNIXも同様に保護機能はなかった。8086ではCPUリングも仮想メモリも、他の助けになる機能もなかった。メモリの隔離はMMUによって強制される。これはソフトウェアじゃない。もしかしたら、後に登場したLinuxと混同してるかもね。Linuxはソフトなx32環境でCPUリングやページテーブル/仮想メモリを持ってたから。（「保護モード」っていう名前もそのためだし。）とはいえ、OpenClawは犯罪的にひどいけど、今のAI/LLMエコシステムにはうまくフィットしてるね。

└

> DOSは、ターゲットにしていたハードウェアにそのような保護がなかったため、特定の保護がありませんでした。同じマシンのUNIXでも、同様にそのような保護はありませんでした。8086にはCPUリングも仮想メモリもなく、他の助けになる機能もありませんでした。それらは386（286？ちょっと覚えていませんが、386は確かです）で登場し、DOSは386や486の時代まで生き残っていました。 > 同じマシンのUNIXでも、同様にそのような保護はありませんでした。私はWindows 95が登場する前に486でLinuxを動かしていました。LinuxとDOS。一方にはその保護があり、もう一方にはありませんでした。

私は、ほとんどのアカウントに対して読み取り専用アクセスがある$4のVPSでOpenClawを動かしています。今朝、特定のサービスに対する会社の支払い方法や、直接ベンダーに切り替えたことがあるかどうかを確認するように頼んでみました。約30秒で必要なメールを全部見つけて、タイムラインを提供してくれました。まるで本物のアシスタントみたいです。今では、ほとんどのことがChatGPTやClaude、Codexの中でできるようになっています。ただ、特定のエージェント的なことをリモートで実行するのがまだ問題ですね。Claude Codeを使ってTelegramを設定できますが、OpenClawよりもさらに複雑です。

今週末、コンピュータにHermesをインストールしました。M4 Max Studioが飛びそうなくらいファンを回し始めたので、クラウドホストのモデルに切り替えました。ちゃんと宣伝通りに動いていますが、トークンの消費がすごいです。もちろん、選ぶLLMによって変わるとは思いますが、私の主な感想は、セキュリティの観点から見るとこれは爆弾みたいなものだということです。Dockerの下でも、これを有用にするためには、エージェントがアクセスできるコンピュータに保存された資格情報や権限を与えざるを得ません。なので、今のところ、Telegram、私のコンピュータ、LLMルーター（OpenRouter）、LLMサーバーが攻撃や情報漏洩の可能性のある場所だと見ています。それに加えて、未知の起源からの制御されていないスキルやエージェントもあります。さらに、エージェント自体が誤作動して、例えば、全てのメールボックスを間違って削除する可能性も忘れないでください。魅力的な技術ですが、成熟度が欠けています。OpenAIがClawdbotの創造者を雇った理由がよくわかります。この技術を使って企業向けのプラットフォームを構築できる会社が勝つでしょう。

└

> OpenAIがClawdbotを雇った理由は明らかです。主にIPO前にHypeを買ったからです。このプロジェクトはオープンソースで、考え方も難しくありません。本当にやりたければ、ずっと前にやっていたでしょうし、彼なしでもできたはずです。これは、アマチュアプログラマーがバイブコーディングを通じて人気になったプロジェクトの純粋なハイプ「買収」です。彼らはその結果やセキュリティのリスクを理解していません。

└

デバイス上の資格情報の問題が、多くの人にとって本当の障害になっています。私はatmita.comを逆のアプローチで作りました：クラウドホスト型で、何もあなたのボックスに保存されず、OAuthはサーバーで処理され、破壊的なアクションは実行前に電話の承認を待つ安全モードがあります。OpenClawに基づいておらず、ゼロから構築したので、Dockerやトークンの情報漏洩のリスクはスタックの一部ではありません。

└

エージェントと同じVMに秘密を入れるんじゃなくて、サンドボックスの外にあるHTTPプロキシに置くべきだね。

DOSは通常、ネットワークと一緒に使われていませんでした。ネットワークがないと、セキュリティの必要性は大幅に減ります。

└

ネットワーク化は避けられないものだったし、部屋にいる賢い人たちはそれを予測していたと思うよ。

└

OpenClawはネットワークを使う必要がないのが良いところだね。あ、待って…

└

家庭用コンピュータは普通はネットワークに接続されてなかったけど、企業用コンピュータ（ウォルマートの例みたいな）は絶対に接続されてたよ。

└

US Robotics Courierを通じてハッキングされる可能性ってあるのかな？

└

でも、フロッピーディスクをいつも共有してたから、スニーカーネットだったよね。

└

昔は人にモラルがあったよね…いい人たちが正しいことをしてくれるって信じられた。

└

違うよ。参考までに: NetWare、Stoned。

1991年頃にAmigaコンピュータでMinixを動かしてたよ。Minixは攻撃面が小さくて、マイクロカーネルによる隔離があったから、Linuxのモノリシックカーネルよりも安全だった。Minixの教科書も持ってて、モジュールごとに分かれてるから考えやすかったな。個人的にはMinixとLinuxはBetamaxとVHSにすごく似てると思う。Betamaxは技術的には優れてたけど、市場はVHSを選んだ。2012年の古いLenovo T430uでまたMinixを動かしてみようかな。Minixのコードの一部が本の付録に載ってて、ゲームやおもちゃのプログラムのために手打ちするコードが載ってる雑誌みたいだったのに驚いたよ。MS-DOSが好きだったのも同じ理由かな：いじくり回すのが楽しかったから、昔のCommodore PET 2001（1977年）やVic-20のPEEKやPOKEの頃から…

└

> 2012年の古いLenovo T430uでMinixを再度動かすかもしれない。もし君の古いLenovoにvPro/Intel AMTがあれば、すでにMinixを動かしてるってことだよ。

└

Betamaxは画質が良かったけど、容量が1時間しかなかった。VHSは2時間。消費者は高画質よりもテープを交換しなくて済む便利さを選んだんだ。便利さは技術的なアドバンテージだよ。だから、ストリーミングが後にBlu-rayを打ち負かしたのも、画質が落ちたからなんだ。

ハクソク