2026 年の OpenClaw の公開とセキュリティ強化:
リスク チェック、Kubernetes オペレーター ベースライン、トリアージ チェックリスト

01. パブリックOpenClawの3つの失敗パターン

1) 認証深度なしで公開されるゲートウェイ ポートとダッシュボード ポート:コミュニティ ドキュメントでは、次のようなゲートウェイ ポートがよく引用されています。18789ローカル反復用。それらの同じポートがに公開される場合0.0.0.0/0強力なトークン バインディング、レート制限、ネットワーク セグメンテーションがないため、スキャナーはそれらを他の管理 API と同様に扱います。可用性は承認ではありません。インターネット上の誰もがツール呼び出しをトリガーできるべきではありません。

2) プロバイダー キーはあらゆる場所にコピーされます。有効期間の長い LLM API キーを名前空間全体の環境変数に埋め込むと、横方向の移動を元に戻すのにコストがかかります。ワークロードが侵害された場合、キーはすでにプロセス メモリ内にあり、多くの場合、コンテナ層内のディスク上にあります。 NetworkPolicy は、「テスト中の方が簡単だったため」すべてのポッドに渡されたシークレットを修正できません。

3) 可観測性のギャップ:アドホックに依存するkubectl logsブルート フォース パターン、TLS 異常、未知の ASN への突然の出力を見逃します。一元化された認証失敗カウントとアウトバウンド接続監査がなければ、チームは最初の失敗時ではなく、スキャンを繰り返した後に漏洩を発見します。

これらのパターンは、裸の Docker を実行しているか Kubernetes を実行しているかに関係なく発生します。違いは、プラットフォームがポリシー オブジェクトと、週末の銃撃戦なしでそれらを修正するためのロールバックを提供するかどうかです。

インシデント対応担当者は、最初の侵害シグナルは巧妙なエクスプロイトではなく、誤って公開されたセキュリティ グループ ルールと組み合わせた静的ベアラートークンバックアップ スクリプトにチェックインされました。サービスが「ステージングで正常に機能した」場合でも、これら 2 つの要素を一緒にすると有害なものとして扱います。

最後に、LLM プロバイダーの悪用は稼働時間のリスクだけでなく、コストとデータ漏洩のリスクにもなるということを覚えておいてください。 ID ごとのクォータがないパブリックに到達可能なゲートウェイでは、プロセスがクラッシュしていないため、ログがまだ「健全」に見えるにもかかわらず、数時間でバジェットを消費する可能性があります。

02. 意思決定マトリックス: ファイアウォール vs オペレーター vs ゼロトラスト

表を使用して操作深度を選択します。ベンダー制限を変換するマックデートの価格クラウド Mac を要塞アクセスとペアリングする場合。

まだフィーチャを配線している場合は、以下をお読みください。v2026.3.12 Kubernetes ガイドまず、ここに戻ってください。機能のインストールと公開ガバナンスは異なるワークストリームです。

ゼロ トラストを選択することは高尚なことではありません。それは、ゲートウェイにアクセスするアイデンティティの数についての表明です。 1 つのチームだけがクラスターを保守している場合は、適切な範囲の Operator 展開と厳密な Ingress で十分な場合があります。 5 つのチームが同じエンドポイントを共有する場合、ID 認識プロキシは監査可能性において代償を支払います。

コストに関する会話には次の内容を含める必要があります。取り消しまでの平均時間: ラップトップが盗まれた場合、または CI トークンが漏洩した場合に、すべてのシークレットをローテーションする期間。答えが日単位で測定される場合、ファイアウォール ルールに関係なく、まだ実験段階にいます。

プラットフォーム SRE チームとの連携が重要です。Kubernetes のアップグレード、CNI スワップ、サービス メッシュの導入はすべて、ポリシーの評価方法を変える可能性があります。 OpenClaw の強化は、Helm のインストール後に終了した 1 回限りのチケットではなく、定期的なカレンダー エントリを伴う共同契約として扱います。

マネージド Kubernetes のベンダー SLA では、アプリケーション レベルの認証は引き続きユーザーの責任となります。コントロール プレーンの稼働時間とゲートウェイの安全性を混同しないでください。 OpenClaw サービスが事実上パブリックである間、クラスターは「グリーン」になる可能性があります。

03. NetworkPolicy と Ingress: 最小特権パターン

デフォルトの拒否:ゲートウェイ名前空間の場合、イングレス コントローラー名前空間または要塞 CIDR からのイングレスを除くすべてのイングレスを拒否します。下りの場合は、DNS、証明書の更新、およびプロバイダー エンドポイントの明示的なリストを許可します。ワークロードも検査しない限り、「すべての HTTPS を許可」は避けてください。

コントロール プレーンとデータ プレーンを分割します。メトリクス、ダッシュボード、およびユーザー向けゲートウェイは、1 つのパブリック リスナーを共有しないでください。管理 UI は、「デバッグのために一時的に」開いた同じポートの隣ではなく、VPN または ID 認識プロキシの背後に属します。

# Illustrative intent—adapt to your CNI and namespaces
# 1) Allow only ingress-nginx -> openclaw-gateway
# 2) Egress allowlist: TCP/443 to provider APIs you actually use

成功を宣言する前に、ネガティブなテスト ポッドを使用してポリシーを検証します。多くのクラスターは、コントローラーが見つからない場合、ネットワーク ポリシーをサイレントにスキップします。

下りの場合は、CNI がサポートする DNS 名を介してプロバイダー エンドポイントを固定することも検討し、トンネリング試行を示す可能性のある予期しない TXT または SRV ルックアップを監視します。 DNS over HTTPS 出力が広く公開されている場合、攻撃者が新しい CVE を必要とすることはほとんどありません。

アシスタント用に WebSocket またはストリーミング チャネルを公開する場合は、イングレス タイムアウトとボディ サイズ ポリシーが脅威モデルと一致していることを確認してください。無制限のストリームは、スローロリス スタイルのリソース枯渇を引き起こす悪用ベクトルとしてよく使用されます。

入力側で TLS を終了する場合は、コンプライアンス ベースラインとの暗号スイートの同等性を維持し、TLS ハンドシェイクの失敗をアプリケーション 401 とは別にログに記録します。ここでの混合シグナルはトリアージ時間を無駄にします。

マルチクラスター設定の場合、どのクラスターが「権限のある」OpenClaw 構成状態をホストしているか、およびドリフトがどのように検出されるかを文書化します。トークンが異なる場合、2 つのゲートウェイ間のスプリット ブレインは可用性とセキュリティの問題の両方になります。

04. 5 つのステップ: 露出チェックと硬化

1. 資産目録:リスナー、関連プロセス、ロード バランサー パスを列挙します。クラウド セキュリティ グループを対象の CIDR と比較します。
2. 認証プローブ:信頼できないネットワーク パスから、ゲートウェイとダッシュボードへのアクセスを試みます。 HTTP コードとリダイレクトを文書化します。トークンはローテーションし、きれいに取り消す必要があります。
3. オペレーターまたはヘルムの強化を適用します。非ルート、読み取り専用ルート ファイルシステム、削除された機能、seccomp、リソース制限 - と調整インストールガイドバージョンピン。
4. レイヤーの秘密:開発キー、ステージングキー、プロダクションキーを分離します。ディスク上の長い API キーよりも、有効期間の短いトークンと OIDC を優先します。
5. ログとドリル:認証失敗と出力メタデータを集中ログに送信します。四半期ごとに「偶発的な公共ポート」レッドチーム訓練を実施し、MTTR を追跡します。

ドキュメントのロールバック: CI とローカルの場合、トークンのローテーションにより 1 ～ 3 回の一時的な停止が発生することがよくあります。~/.openclaw状態ドリフト - チェックリストをミラーリングしますアップグレードとロールバックのガイド.

実稼働プロモーションの前に軽量の「ゴー/ノーゴー」ゲートを追加します。制御していない住宅用 ISP IP 範囲シミュレーターまたは VPN 出口ノードから同じ認証プローブを実行します。動作がオフィス ネットワークと異なる場合、イングレスまたは ID 統合は依然として一貫性がありません。

コードを実行できるサードパーティのプラグインまたはスキル リポジトリのインベントリを保持します。サプライ チェーンのレビューは、ネットワーク ポリシーの編集と同じ変更ウィンドウに属します。そうでない場合は、新しい横方向の移動パスをインストールするときに境界を強化することになります。

05. 厳密な指標と神話

定量的なベースラインは、メンテナンス期間を議論するのに役立ちます。つまり、イングレスを強化する前後で 1 時間あたり拒否された認証試行の数をキャプチャし、ボリュームごとに上位 5 つのエグレス宛先を追跡します。後者のスパイクは、多くの場合、トークンの悪用や Webhook の構成ミスに先行して発生します。

• Metric 1:認証深度が弱いインターネットにアクセス可能な管理ポートの場合、自動検出は多くの場合、24～72時間地域と ASN の評判に応じて、不明瞭ではなく発見されることを前提とします。
• Metric 2:チームの報告によると、60%–80%「ポリシーが機能する」という確信の割合は、検証済みのネットワーク ポリシーの適用によってもたらされます。互換性のあるコントローラーがないと、ポリシーが機能しなくなる可能性があります。
• Metric 3:同期された自動化を行わずにキーを完全にローテーションすると、通常、次のような問題が発生します。1–3誤検知インシデント (401/接続拒否) - メンテナンス時間に応じて予算を設定します。

Myth A:「TLS は安全である」 - 暗号化は認証やセグメンテーションではありません。Myth B:「オペレーターがインストールされているということは、安全であること」—デフォルトでもイングレスとシークレットのモデルが必要です。Myth C:「プライベート IP は無害です」 - 横方向の移動とサプライチェーンのリスクは引き続き影響を受けます。

経営幹部のレポートでは、技術的な指標と金額を組み合わせる必要があります。不正な呼び出しによる推定トークン消費量、インシデントブリッジに費やされた時間、アイデンティティ認識プロキシの背後にあるゲートウェイの割合などです。この枠組みにより、最初の監査に合格した後もセキュリティ作業に資金が提供され続けます。

規制当局や企業顧客が証拠を求めるとき、ファイアウォール ルールのスクリーンショットを求めることはほとんどありません。誰がより広範なイングレスを承認したか、トークンがいつローテーションされたか、どのテストで否定的なケースが証明されたかを示す、追跡可能な変更記録が必要です。事件が起こっている間ではなく、まだ穏やかな数週間の間にその物語を構築してください。

最後に、部分的な失敗をリハーサルします。ID プロバイダーがダウンしているにもかかわらず、ゲートウェイがトラフィックを正常に拒否する必要がある場合はどうなりますか?キャッシュされた JWKS キー、オフライン検証モード、および正常な機能低下は、後付けではなく、NetworkPolicy と同じ Playbook に属します。

06. 露出をスケーリングする前にネイティブ Mac で検証する理由

ゲートウェイは Linux クラウド VM 上でのみ実行できますが、開発者のワークフロー、キーチェーン、ローカル デバッグ多くの場合、本番環境のスクリプトとは異なります。 Apple エコシステム ツールも必要な場合、またはインシデントを再現するための隔離された場所が必要な場合は、パブリック Ingress を拡張する前のネイティブ macOS 検証通常、チームの実際の作業方法と一致します。 Mac の容量をレンタルすると、検証を安価かつ期限付きで行うことができます。

短期レンタルは、トークン ポリシー、ネットワーク ポリシー、ロールバック スクリプトを反復可能な Runbook としてリハーサルし、次のランブックと組み合わせるのに役立ちます。SSH/VNCに関するよくある質問 and pricingライブ公開下で即興で行うのではなく、セキュリティ訓練用の帯域幅と CPU 層を選択します。

ネイティブ macOS では、ローカル開発者のラップトップとの比較も簡素化されます。並列 Hackintosh や脆弱な VM スタックを維持することなく、キーチェーン プロンプト、公証フロー、Apple 固有のツールを再現できます。この忠実度により、認証を強化すると「CI では動作するが、パートナーの Mac では失敗する」という驚くべき事態が軽減されます。

ドリルが終了したら、正確なコマンド、ポリシー マニフェスト、およびトークン スコープをアプリケーション コードと同じリポジトリにアーカイブします。チャット履歴にのみ存在するセキュリティ Runbook は、オンコール ローテーションが変更された瞬間に期限切れになります。