NemoClaw触ってみた:OpenClawのセキュリティ問題を解消できるのか?
NVIDIAがGTC 2026(2026年3月16日)で発表した「NemoClaw」は、OpenClawのセキュリティ・プライバシー層を強化するオープンソーススタックです。OpenClawの競合ではなく、OpenClawを包み込む構造になっており、企業や業務利用での安全なAIエージェント運用を実現することを目指しています。 本記事では、NemoClawとは何か、OpenClawとの関係、ポリシーファイルの設定方法、導入フロー、実際に触れてみての所感をまとめます。 NemoClawとは NemoClawはNVIDIAが発表したOpenClaw専用のセキュリティプラグインです。内部では OpenShell というサンドボックスランタイムを使い、AIエージェントをLinuxコンテナで隔離します。ファイルシステム・ネットワーク・プロセスをポリシーで制御し、OpenClaw単体では防ぎきれなかったセキュリティ上の問題に対処します。 構成は以下の3層です: OpenShell: 汎用サンドボックスランタイム。AIエージェントをLinuxコンテナで隔離 NemoClaw: OpenClaw専用プラグイン(セキュリティ・プライバシー層) OpenClaw: サンドボックス内で動作するエージェント本体 OpenClawのセキュリティ問題とは OpenClawには tools.deny による制限機能がありますが、アプリケーション層での制御であるため、バグや迂回経路が発見されると突破されてしまうリスクがあります。プロンプトインジェクション攻撃によるデータ漏洩や、意図しないシステムコールの実行が代表的な懸念点です。 セキュリティの4層防御 NemoClawは以下の4層でセキュリティを確保します: 層 技術 ファイルシステム Landlock LSM(カーネルモジュール) ネットワーク egress proxy + アプリケーション単位制御 プロセス seccomp + コンテナ隔離 推論 ゲートウェイ経由ルーティング 最大の特徴は「アプリ層ではなくカーネル層で強制される」点です。OpenClawの tools.deny と異なり、バグや迂回方法が発見されても突破できません。 ネットワーク制御の仕組み NemoClawのネットワーク制御は Deny by default が原則で、全通信がデフォルトでブロックされます。許可は「アプリケーション×ホスト」の組み合わせで明示的に指定します。 例えば: git → GitHub接続を許可 curl → ブロック このような細粒度の制御により、仮にエージェントが悪意あるプロンプトインジェクションを受けても、データの外部流出が不可能になります。 ポリシーファイル ポリシーはYAML形式で宣言的に記述します。読み書き可能なパス、ネットワーク接続先、許可するバイナリを定義でき、GitOpsでの運用も可能です。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 # ポリシーファイルの例(概念的な構成) filesystem: read: - /workspace - /home/agent write: - /workspace/output network: allow: - binary: git hosts: - github.com - api.github.com process: allow_binaries: - git - python3 - pip このようなポリシーファイルをリポジトリで管理することで、セキュリティ要件の変更履歴を追跡し、レビュープロセスを通じて変更を管理できます。 ...