ゼロトラストAgentアーキテクチャ：なぜサンドボックスでは不十分なのか

Kevin Lin は最近、OpenClaw を「エージェントのためのユニバーサル・オペレーティングシステム」——エージェント時代の Linux と表現しました。その通りです。しかし、Linux が30年前に教えてくれたことがあります：ユニバーサルな安全アーキテクチャを持たないユニバーサル OS は、ユニバーサルな攻撃面である。

この1ヶ月で、私たちはその教訓がリアルタイムで現実になるのを目の当たりにしました。

サンドボックスという幻想

Claude Code CVE-2026-39861（CVSS 9.8）： シンボリックリンクを悪用した攻撃がサンドボックスを突破しました。Anthropic の対策は？「ユーザーは確認をクリックすべきではない。」この脆弱性を再現したセキュリティ研究者は、このパターンが「クローズド型エージェントのあらゆる場所に存在する」と指摘しました。

Cursor Agent が本番データベースをわずか10秒で削除。 プロンプトなし。確認なし。ロールバックなし。PocketOS の全ユーザーデータが失われました。

MCP プロトコル——5つの攻撃カテゴリすべてが成功。 セキュリティ白書が、エージェントと外部ツールを接続する信頼モデルが根本的に破綻していることを証明しました。別のスキャンでは、MCP サーバーの22%が悪意あるものと分類されました。

これらはバグではありません。アーキテクチャ上の欠陥です。エージェントが動作する「サンドボックス」は、自律的に認証情報を保持し、判断を下し、コマンドを実行するプログラムのために設計されたものではなかったのです。

ファイアウォールだけでは解決できない理由

Deno が Claw Patrol をリリースしました——AI エージェント向けのプロトコルレベルのファイアウォールです。Runtime（YC P26）はサンドボックス化されたエージェント環境を立ち上げました。これらは正しい方向への一歩ですが、解決できるのは一層だけです：

• ファイアウォールは不正なネットワーク呼び出しをブロックします。しかし、エージェントがローカルデータに対して rm -rf を実行するのは止められません。
• サンドボックスはプロセスを隔離します。しかし、エージェントが脱出した後の被害をロールバックすることはできません。
• エージェントが他のユーザーのエージェントとインフラを共有している場合、どちらも認証情報の漏洩を防げません。

単一層の防御は、その層が破られないことを前提としています。歴史は、必ず破られることを教えています。

3つのレイヤー：ゼロトラスト・エージェント・アーキテクチャの実践

MyClaw では、すべてのエージェントがひとつの前提のもとで稼働します：失敗する。アーキテクチャが爆発半径を封じ込めなければならない。

レイヤー1：完全なサーバー分離

各ユーザーのエージェントには専用のサーバーインスタンスが割り当てられます。コンテナではなく、ネームスペースでもなく、完全に隔離された環境です：

• 認証情報はあなたのマシンにのみ存在——共有クラウドには置かれない
• あるユーザーの侵害が他のユーザーに連鎖しない
• エージェントは自身の境界外のシステムにアクセスできない

これは多層防御ではありません。設計による防御です——共有された攻撃面そのものが存在しないのです。

レイヤー2：ネットワーク封じ込め + Guardian

Guardian はエージェントとそのすべてのアクションの間に位置します：

• 破壊的コマンドの実行前リアルタイム傍受
• プロトコルレベルのフィルタリング（HTTP、データベース、SSH）——Deno の Claw Patrol と類似しますが、ホスティング層に組み込まれています
• 行動異常検知：エージェントが突然、今まで触れたことのない50個のファイルにアクセスしようとした場合、Guardian がフラグを立てます

「確認をクリックしないで」との決定的な違い：Guardian は、あなたが正しいタイミングで正しい判断を下すことに依存しません。 自動化され、常時稼働し、マシン速度で動作します。

レイヤー3：即時スナップショット・ロールバック

問題が起きた場合（「起きるかどうか」ではなく「いつ起きるか」です）：

• リスクの高い操作前に自動スナップショットを作成
• ワンクリックで任意の以前の状態にロールバック
• すべてのアクションの完全な監査証跡

Cursor Agent がデータベースを10秒で削除しました。スナップショット・ロールバックがあれば、復旧もまた10秒です。

なぜ今なのか

市場は転換点にあります：

• Google が Project Remy でこのカテゴリを正式に認知しました——30億人のユーザーに向けた24時間365日のパーソナルエージェントです。しかし TechCrunch は「ブランドの混乱と断片化」を指摘しています——4つの異なるエージェント製品、4つの異なるエントリーポイント。
• Anthropic は OpenClaw の禁止を撤回しましたが、データ共有テレメトリの要件を付帯しました。その後、Stainless SDK を廃止。パターンは明白です：「ドアを開けてから、カメラを設置する。」
• Runtime と Cursor はエンタープライズ向けエージェントサンドボックスを構築中です。開発チームには最適ですが、それ以外の人には十分ではありません。

エージェントのためのユニバーサル OS は既に存在しています。欠けていたのは、すべてのレイヤーで失敗を前提とするユニバーサルな安全アーキテクチャでした。

私たちはそれを構築しました。

---

MyClaw は、OpenClaw（ユニバーサル・エージェント OS）のフルパワーを、ゼロトラスト・アーキテクチャとともに提供します。エージェントは失敗するという前提で設計され、失敗時の爆発半径を封じ込めます。

• 月間150万訪問者
• 年間売上3,000万ドル
• 認証情報漏洩インシデント：ゼロ
• インフラ CVE：ゼロ

あなたのエージェント。あなたのサーバー。あなたのデータは外に出ない。

始めましょう →

---

Leo Ye は MyClaw.ai の創業者兼 CEO であり、MyClaw は世界最大のマネージド AI エージェントプラットフォームです。