自律型エージェント向け軽量セキュアランタイム

OpenClawのような自律型エージェントを安全に利用するためのランタイムです。

自律型エージェントは従来のエージェントよりも行動範囲が広く、その分はるかに有用に使えますが、同時に強力な権限を必要とするため、安全装置なしで使うには誤ったAPI呼び出しやrm -rfのような過剰権限が不安でした。実際にも、OpenClawで実ファイルを誤って削除したり、Clawhubで悪意あるコードが実行されたりするなど、深刻なレベルのセキュリティ事故の事例が見つかっています。

私はAWSインスタンス経由でOpenClawを使いたかったのですが、既存のセキュリティ対策であるNVDIA NemoClawのようなものはハードウェア依存性があり、実質的にKubernetesなどのインフラを管理する必要がありました。一方で、単純にDockerで動かそうとしても、もともと単純なコンテナとして設計されているため、ポリシー設計や権限制御が難しいという問題がありました。

そこで追加インフラなしで軽量なセキュリティレイヤーを作ることにし、2つのRustバイナリファイルで構成されるセキュリティレイヤーを実装しました。追加の依存関係はなく、他の環境でも動作しますが、Linuxのカーネル機能を活用するためLinux環境を推奨します。

このプロジェクトの技術的な構成要素は以下のとおりです。
1.HTTP/HTTPSのアウトバウンドトラフィックをすべてポリシー内容に応じてallow/deny/delayなどに分類するプロキシ
2.エージェントによるプロキシ迂回を防ぐためのseccomp-bpfとnamespace分離
3.エージェントのsyscall権限乱用を防止し、overlayfsシステムを利用してローカルファイルへの直接操作を禁止
4.secret injectionによりAPIキーをエージェントから見えなくして漏えいを防止

より詳しい技術実装の内容は、GitHubに各パートごとに分けて文書化してあります。メモリ安全性や終了時の孤児状態防止など、基本的なストレステストは完了しており、60分以上の実行でもテストを通過しました（OpenClaw、Hermes agentをAWSインスタンスで実行）。レイテンシも実際のagent実行と比べてごく小さいレベルであることが確認されています。

私と同じように、エージェントをLinuxサーバーで本番利用する方や、agentのトラフィックをデバッグまたは制御したい方に有用だと思います。CLIベースのツールなのでUIは不便かもしれませんが、HTML静的ページを通じて簡単に確認することもできます。バグ報告やフィードバック、そのほかの質問も歓迎します！