openclaw workspaceonlyで詰まった人へ、設定ミスと脆弱性を一気に整理する安全ガイド
こんにちは、ミンビズ運営のミナトです。今回は「openclaw workspaceonly」と検索しているあなた向けに、OpenClawのtools.fs.workspaceOnlyまわりで何が起きやすいのか、どこを見ればよいのか、そして会社やチームで使う前にどこまで安全設計を固めるべきかを整理しました。
このキーワードは、単なる設定項目の話に見えて、実はファイルアクセス範囲・サンドボックス・Slack連携・脆弱性対応・社内利用の権限設計までつながるテーマです。OpenClawは便利なAIエージェントですが、ファイルやコマンド、外部サービスに触れる力があるため、「動けばOK」ではなく「どこまで触れる状態なのか」を見ておくのが大事かなと思います。
| この記事のポイント |
|---|
✅ tools.fs.workspaceOnlyの意味と検索意図がわかる |
| ✅ workspaceOnly関連の既知問題と脆弱性の違いがわかる |
| ✅ OpenClawをSlackや会社利用で扱うときの注意点がわかる |
| ✅ 安全に始めるための設定・監査・運用チェックがわかる |
openclaw workspaceonlyで最初に押さえるべき基本構造
- openclaw workspaceonlyへの答えはファイルアクセス範囲の制限設定
- workspaceOnly trueは作業スペース外への読み書きを絞る設定
- workspaceOnly falseでも書き込みできない報告は既知の挙動差
- imageツールのworkspaceOnly回避は脆弱性として別扱い
- 「openclaw workspaceonly について AI回答を見る」前に見るべき一次情報
- Slack連携でworkspaceOnlyだけに頼れない理由
openclaw workspaceonlyへの答えはファイルアクセス範囲の制限設定
「openclaw workspaceonly」で検索している人の多くは、おそらくtools.fs.workspaceOnlyが何を制限するのか、またはfalseにしたのにワークスペース外へ書き込めない理由を探しているかなと思います。
まず結論から言うと、workspaceOnlyはOpenClawのファイル操作を作業スペース内に閉じるための設定です。OpenClaw公式ドキュメントでは、ハードニング設定の中でtools.fs.workspaceOnly: trueが示されており、ファイルアクセス範囲を絞るための重要な項目として扱われています。
ただし、ここでややこしいのが、workspaceOnlyには「安全のために閉じる設定」と「設定をfalseにしても一部ツールが外へ書けないという不具合報告」の2つの話が混ざっている点です。ここを分けないと、検索結果を読んでも混乱しやすいです。うん、ここはかなり引っかかりやすいところです。
🔎 workspaceOnlyのざっくり整理
| 見るポイント | 内容 |
|---|---|
| 設定名 | tools.fs.workspaceOnly |
| 主な目的 | ファイル操作をワークスペース内に制限すること |
| 安全上の意味 | エージェントが不要な場所のファイルに触れにくくなる |
| 注意点 | すべてのリスクを消す万能設定ではない |
| 関連する問題 | false時のWrite/Edit挙動、imageツールの境界回避脆弱性 |
workspaceOnly: trueにすると、AIエージェントが作業スペース外のファイルへ触る余地を減らせます。たとえば、ホームディレクトリや認証情報、別プロジェクトのファイルなどを不用意に読ませない設計に近づきます。
一方で、workspaceOnly: falseは「外のファイルにも自由に触ってよい」という意味に見えますが、GitHub IssueではWrite/Editツールで外部パスへの書き込みが拒否される報告が出ています。このため、検索している人は「設定したのに効かない」と感じている可能性があります。
⚠️ 重要なのは、workspaceOnlyをセキュリティ設定として見る場合と、不具合調査として見る場合で、取るべき行動が違うことです。
| 状況 | 見るべき方向 |
|---|---|
| 安全に使いたい | workspaceOnly: trueを基本にして権限を絞る |
| 外部パスに書き込みたい | GitHub Issueの挙動差やバージョンを確認する |
| 脆弱性が心配 | JVN、GitLab Advisory、GitHub Advisoryなどを確認する |
| 会社で使いたい | Gateway、Slack、sandbox、ログ、権限をまとめて見る |
引用元として、OpenClaw公式のSecurityページでは、openclaw security auditの定期実行や、最小権限から始める考え方が説明されています。
引用元: https://docs.openclaw.ai/gateway/security
つまり、「openclaw workspaceonly」の答えは一言で終わりません。設定項目としてはファイル範囲の制限、運用上はAIエージェントの権限設計の一部と考えるのが自然です。
workspaceOnly trueは作業スペース外への読み書きを絞る設定
workspaceOnly: trueは、OpenClawに「基本的には作業スペース内で作業してね」と伝えるための設定です。AIエージェントにファイル操作を任せる場合、これはかなり大事な土台になります。
なぜなら、OpenClawのようなエージェントは、単に文章を返すだけではありません。設定次第ではファイルを読む、編集する、画像を扱う、コマンドを実行する、ブラウザを操作する、といった動きができます。だからこそ、作業範囲を狭める設定が必要になります。
🧩 workspaceOnly: trueで期待される守り方
| 項目 | 期待される効果 |
|---|---|
| ファイル読み取り | 作業スペース外の読み取りを抑える |
| ファイル書き込み | 予期しない場所への書き込みを抑える |
| apply_patch | 作業スペース外への変更を抑える |
| 画像読み込み | ネイティブな画像自動読み込み範囲を絞る |
| 運用面 | 誤操作や情報漏えいの範囲を小さくする |
OpenClaw公式ドキュメントのハードニング例でも、tools.profile: "messaging"、tools.deny、tools.fs.workspaceOnly: true、exec.security: "deny"、elevated.enabled: falseのように、複数の制限を組み合わせる形が紹介されています。
ここで大事なのは、workspaceOnly: trueだけを入れて安心しないことです。ファイルアクセス範囲を絞っても、別のツールや設定が広く開いていれば、全体としてはまだ危うい状態かもしれません。
🔐 安全寄りの基本セット
| 設定領域 | 安全寄りの考え方 |
|---|---|
| Gateway | loopback bind + token認証 |
| DM/Slack | pairingまたはallowlist |
| ファイル | workspaceOnly: true |
| exec | denyまたはask always |
| elevated | disabled |
| sandbox | 使える場合は有効化 |
| audit | 設定変更後に実行 |
たとえば、ファイル操作は閉じていても、execで自由にコマンドが動くなら、別経路でファイルに触れる可能性があります。これはOpenClawに限らず、AIエージェントを使うときの基本的な見方です。
公式ドキュメントでも、OpenClawは敵対的な複数ユーザーが1つのゲートウェイを共有するための強い境界ではなく、パーソナルアシスタントの信頼モデルを前提にしていると説明されています。
引用元: https://docs.openclaw.ai/gateway/security
なので、workspaceOnly: trueは「安全対策の完成」ではなく、最小権限に寄せるための入口です。会社利用やSlack連携まで考えるなら、この設定を中心に、誰が使えるか、何を見えるか、どこで動くかも一緒に見る必要があります。
workspaceOnly falseでも書き込みできない報告は既知の挙動差
「tools.fs.workspaceOnly: falseにしたのに、ワークスペース外へWrite/Editできない」という話は、GitHub Issueで複数報告されています。ここは、検索している人がかなり知りたいポイントだと思います。
Issue #29817では、workspaceOnly: falseにしてもWrite/Editツールが外部パスへの書き込みを拒否し、「Path escapes workspace root」のようなエラーになると報告されています。Issue #31716でも、同じように設定値がWrite/Edit操作の内部処理まで伝わっていないという分析が書かれています。
🧪 報告されている挙動の整理
| 項目 | 報告内容 |
|---|---|
| 設定 | tools.fs.workspaceOnly: false |
| 期待 | /tmpやホーム配下などワークスペース外へ書ける |
| 実際 | Write/Editツールが外部パスを拒否 |
| エラー例 | Path escapes workspace root |
| 影響 | 一部のワークフローや外部出力が止まる可能性 |
この話は「セキュリティ的に閉じるべき」という話とは別です。むしろ、設定上は開けているのに、内部実装側の境界チェックで止まるという挙動差の話です。
GitHub Issueの本文では、外側のガードはworkspaceOnlyに従ってスキップされる一方、内側のWrite/Edit操作が常にワークスペース境界を強制している、という分析が示されています。
引用元: https://github.com/openclaw/openclaw/issues/29817
引用元: https://github.com/openclaw/openclaw/issues/31716
⚙️ workspaceOnly falseで混乱しやすいポイント
| 混乱点 | 見方 |
|---|---|
| falseなら全部外に書けるはず | Write/Editでは拒否報告あり |
| readはできるのにwriteできない | ツールごとの内部処理差がありそう |
| execなら外に書ける報告 | ただし安全面では慎重に扱うべき |
| バージョン依存 | 報告時点のバージョン確認が必要 |
| closed issue | 必ず最新の修正状況確認が必要 |
ここで注意したいのは、Issueで示されている回避策としてexecを使った外部書き込みが出ている場合でも、一般運用では安易に広げない方がよいことです。execは便利ですが、権限が強いツールなので、誤操作や外部コンテンツ由来の指示と結びつくと影響範囲が広がります。
働き方やAI活用の現場で考えるなら、外部パスへ書き込みたい理由を先に分けた方がよいです。レポート出力なのか、OneDrive保存なのか、テンポラリファイルなのか、別プロジェクト更新なのかで、設計が変わります。
📝 実務での切り分け
| やりたいこと | 安全寄りの代替案 |
|---|---|
| 一時ファイルを作りたい | ワークスペース内のtempフォルダへ出す |
| レポートを保存したい | ワークスペース内で作成後、人間が移動 |
| 別フォルダを更新したい | 明示的な作業対象としてワークスペースにする |
| 自動バッチで外部出力したい | 専用runtimeとログ監査を用意 |
| 個人フォルダへ直接保存したい | 原則慎重にし、権限と承認を入れる |
つまり、workspaceOnly: falseを「動かないから困る」と見るだけでなく、本当に外へ書き込ませる必要があるのかも同時に見た方がいいです。OpenClawのようなエージェントでは、便利さと安全性のバランスを先に決めるのが大事です。
imageツールのworkspaceOnly回避は脆弱性として別扱い
workspaceOnly関連でもう一つ大事なのが、imageツールによる境界回避の脆弱性です。これは「設定がfalseなのに書けない」という話とは別で、trueで制限しているはずなのに、特定条件で作業スペース外のファイルを読める可能性があったというセキュリティ上の話です。
JVN iPediaでは、OpenClawの2026.3.2以前のバージョンに、imageツールがファイルシステムの境界を回避し、tools.fs.workspaceOnlyの制限が適切に適用されていない脆弱性があると説明されています。CVEはCVE-2026-35658、CVSS v3の基本値は6.5です。
🛡️ JVN掲載情報の要点
| 項目 | 内容 |
|---|---|
| 識別子 | CVE-2026-35658 |
| JVNDB | JVNDB-2026-010907 |
| 対象 | OpenClaw 2026.3.2未満 |
| 問題 | imageツールがworkspaceOnly制限を回避 |
| 主な影響 | 情報漏えいの可能性 |
| 完全性への影響 | なしと説明 |
| 可用性への影響 | なしと説明 |
JVNの説明では、攻撃者がサンドボックスのブリッジマウントを作業スペース外にたどり、他のファイルシステムツールなら拒否するファイルを読み取れる可能性があるとされています。
引用元: https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-010907.html
GitLab Advisoryでも、sandboxed image toolがtools.fs.workspaceOnly=trueをマウントパスで適切に尊重せず、作業スペース外の画像バイト列がvision model providersへ送られる可能性があったと説明されています。こちらでは、影響バージョンは2026.2.23未満、修正版は2026.2.23以上とされています。
引用元: https://advisories.gitlab.com/npm/openclaw/GHSA-q6qf-4p5j-r25g/
ここで「JVNの対象バージョン」と「GitLab Advisoryの固定バージョン」に差があるように見える点は注意です。リサーチ範囲では、それぞれ別のアドバイザリとして記載されています。実際の運用では、使っているOpenClawのバージョンと該当AdvisoryのIDを照合して確認するのが安全です。
📌 workspaceOnly関連の2種類の話
| 種類 | 内容 | 対応方向 |
|---|---|---|
| 不具合報告 | falseでもWrite/Editが外へ書けない | Issueとバージョン確認 |
| 脆弱性 | trueでもimageツールが境界を回避した可能性 | アップデートと監査 |
| 運用設計 | どこまでファイルを見せるか | 最小権限とsandbox |
| 会社利用 | 複数人が操作できる状態 | trust boundary分離 |
この脆弱性で大事なのは、「workspaceOnly: trueにしていたから問題ない」と言い切れないケースがあるという点です。設定は重要ですが、ツール側の実装やマウント構造まで含めると、想定外の抜け道が出る可能性があります。
だからこそ、openclaw security audit、バージョン更新、Advisory確認、不要な画像・ファイルツールの制限をセットで考えるのが現実的です。仕事で使うなら、特に認証情報・顧客情報・社内ドキュメントを見える場所に置かない運用が大切です。
「openclaw workspaceonly について AI回答を見る」前に見るべき一次情報
検索結果に「openclaw workspaceonly について AI回答を見る」のような導線が出ることがあります。AI回答は概要をつかむには便利ですが、このテーマでは一次情報を確認した方が安心です。
理由はシンプルで、workspaceOnlyはバージョン差・Issue・Advisory・公式ドキュメントが絡むからです。AI回答だけだと、workspaceOnly: trueの一般説明と、workspaceOnly: falseの不具合報告と、imageツールの脆弱性が混ざって見えることがあります。
🔍 優先して確認したい情報源
| 優先度 | 情報源 | 見る内容 |
|---|---|---|
| 高 | OpenClaw公式Security | 公式の安全設定と監査コマンド |
| 高 | JVN / NVD / GitLab Advisory | 脆弱性の影響範囲と修正版 |
| 中 | GitHub Issue | 実際の不具合報告と再現条件 |
| 中 | 技術ブログ | 導入時の設計例や注意点 |
| 低 | 一般的なAI要約 | 概要把握の補助 |
OpenClaw公式Securityページでは、openclaw security audit、Gateway露出、DMポリシー、Slack allowlist、sandbox、ログ、Prompt Injectionなどが広く整理されています。まずここを軸にすると、設定の全体像が見えやすいです。
引用元: https://docs.openclaw.ai/gateway/security
GitHub Issueを見る場合は、「Issueが閉じているか」「どのバージョンで報告されたか」「回避策が安全上どうなのか」を見るとよいです。特にexecを使う回避策は、便利でも権限が強いため、会社利用では承認やsandboxとセットにした方がよいです。
📚 情報源ごとの読み方
| 情報源 | 読むときの注意 |
|---|---|
| 公式docs | 最新設定と用語を確認 |
| JVN | 日本語で脆弱性概要を確認 |
| GitLab Advisory | fixed versionやCWEを確認 |
| GitHub Issue | 再現条件と影響範囲を確認 |
| Zenn/note記事 | 実務目線の設計として参考にする |
| 商用ブログ | 数字や主張は一次情報で照合 |
Skyworkの記事では、OpenClaw Skills BlockedやAIエージェントのセキュリティについて広く扱われていますが、本文中には多数の外部調査名や数値が並んでいます。調べた範囲では、それぞれの一次ソースを個別に確認できない部分もあるため、断定材料としてよりも、論点整理として読むのがよいかなと思います。
引用元: https://skywork.ai/skypage/ja/openclaw-skills-ai-security-guide/2047543776243740672
AI回答を見るときは、次のように使うのがおすすめです。まず概要をつかむ。そのあと、公式docsやAdvisoryでバージョンと設定を確認する。最後に自分の環境でopenclaw security audit --deepを走らせる。これが一番ズレにくい流れです。
Slack連携でworkspaceOnlyだけに頼れない理由
OpenClawをSlackに入れる話では、workspaceOnlyだけを見ても足りません。Slack連携では、誰がbotに指示できるのか、botが何を見えるのか、botがどのツールを使えるのかが一気に重要になります。
Zennの記事では、会社のSlackにOpenClawを入れる場合のリスクとして、delegated tool authority、prompt injection、malware、情報漏えい、誤送信・誤実行などが整理されています。かなり実務目線で、読者が知りたいポイントに近いです。
引用元: https://zenn.dev/t0yohei/articles/cb0670ecf0cad7
workspaceOnly: trueはファイル範囲を絞る設定ですが、Slack連携では入口が広がります。たとえば、共有チャンネルで複数人がbotに話しかけられる状態なら、その人たちはbotの権限を間接的に使える構造になります。
💬 Slack利用で見るべき3つの軸
| 軸 | 問い |
|---|---|
| 誰が起動できるか | DMやチャンネルのallowlistはあるか |
| 何を見えるか | botが参加しているチャンネルやscopeは最小か |
| 何ができるか | tools、exec、fs、browserの権限は狭いか |
公式Securityページでも、共有Slackワークスペースではdelegated tool authorityが大きなリスクになると説明されています。複数人が1つのtool-enabled agentにメッセージできる場合、その人たちは同じ権限セットを動かせると考えるべきです。
引用元: https://docs.openclaw.ai/gateway/security
この観点では、workspaceOnlyは「何を触れるか」の一部でしかありません。さらに、DM policy、group policy、allowlist、requireMention、contextVisibility、session.dmScopeなども見ないと、全体の安全性は判断しにくいです。
🧭 Slack連携の安全寄りチェック
| チェック | 推奨方向 |
|---|---|
| DM | pairingまたはallowlist |
| グループ | allowlist + requireMention |
| ユーザー | 許可ユーザーを明示 |
| チャンネル | 必要最小限 |
| セッション | per-channel-peer |
| ファイル | workspaceOnly: true |
| exec | denyまたはask always |
| 実行環境 | 専用VM/コンテナ/VPSを検討 |
会社で使うなら、個人PCのログイン済みブラウザやパスワードマネージャーをそのまま共有runtimeに混ぜない方がよいです。個人の認証済み環境と会社用botが同じ境界にあると、万一のときに影響範囲が読みにくくなります。
つまりSlack連携では、workspaceOnlyを入れるだけではなく、入口・権限・実行環境・ログ・緊急停止まで合わせて見るのが現実的です。ここを最初に小さく設計しておくと、あとからチャンネルや機能を増やすときも判断しやすくなります。
ポチップ
openclaw workspaceonlyを安全に使うための運用設計
- Gatewayはloopbackとtoken認証を基本にする構成
- sandboxは有効だが万能ではないという前提
- security auditは設定変更後に必ず見る診断軸
- skills blockedや外部スキルは解除より原因確認が先
- 会社利用は1人1インスタンスまたは信頼境界ごとの分離
- ログと認証情報はworkspaceOnlyとは別に守る対象
- 総括:openclaw workspaceonlyのまとめ
Gatewayはloopbackとtoken認証を基本にする構成
OpenClawの安全設計で、workspaceOnlyと同じくらい先に見たいのがGatewayです。GatewayはOpenClawの制御の中心なので、ここが広く開いていると、ファイル設定だけ締めても全体としては危うい状態になるかもしれません。
公式Securityページでは、ハードニングの基本としてgateway.bind: "loopback"とtoken認証が示されています。loopbackは、自分のPC内部からの接続に絞る考え方です。外部ネットワークから直接触れないようにするための基本線ですね。
🌐 Gateway設定で見るポイント
| 項目 | 安全寄りの方向 |
|---|---|
| bind | loopback |
| auth | token認証 |
| remote access | TailscaleやSSH tunnelなど限定経路 |
| reverse proxy | trustedProxiesを正しく設定 |
| public exposure | 不用意に公開しない |
| audit | --deepで確認 |
Rent a Macの記事では、Mac Mini上でOpenClawを動かす場合の安全設定として、最新版への更新、localhostへのbind、token auth、macOS firewall、security auditが紹介されています。記事中の一部数値や主張は一次情報との照合が必要ですが、Gatewayを閉じるという方向性は公式docsとも整合します。
引用元: https://rentamac.io/secure-openclaw-mac-mini/
workspaceOnlyはファイルの話ですが、Gatewayは「誰がOpenClawへ届くか」の話です。もしGatewayが認証なしで外部に開いていれば、ファイル制限以前に大きな問題になりかねません。
🔒 GatewayとworkspaceOnlyの役割分担
| 設定 | 守る対象 |
|---|---|
gateway.bind |
接続できるネットワーク範囲 |
gateway.auth |
接続時の認証 |
tools.fs.workspaceOnly |
ファイルアクセス範囲 |
tools.exec.security |
コマンド実行権限 |
channels.*.dmPolicy |
誰がbotを起動できるか |
会社やチームで使うなら、Gatewayを1つ共有するのではなく、信頼境界ごとに分ける考え方が大切です。OpenClaw公式でも、互いに信頼できない複数ユーザーが1つのgateway/agentを共有する使い方は、強い境界としては想定していないとされています。
そのため、まずはworkspaceOnlyよりも前に、「このOpenClawは誰のためのruntimeなのか」を決めるのがよいです。個人用、チーム用、検証用、本番用。ここが曖昧だと、あとから権限設定もログ管理もぐちゃっとしがちです。
sandboxは有効だが万能ではないという前提
OpenClawのsandboxは、安全性を高めるための重要な防御層です。ただし、sandboxを入れればすべて解決、という見方は少し危ないです。特にAIエージェントは、外部コンテンツ・ファイル・コマンド・認証済みセッションが絡むため、多層で見た方がよいです。
Zennの記事でも、sandboxモードは有効だが、それだけでOpenClawが十分にセキュアになるとは言い切れない、という温度感で整理されています。より強い隔離が必要なら、NanoClawやNemoClawのように、OpenClaw自体をsandbox/container/microVM内に置く発想も検討対象になると紹介されています。
引用元: https://zenn.dev/t0yohei/articles/cb0670ecf0cad7
🧱 sandboxで期待できること
| 項目 | 期待できる方向 |
|---|---|
| 実行環境の分離 | ホスト直実行より影響範囲を抑えやすい |
| ファイル範囲 | workspaceやmount設計で絞りやすい |
| コマンド実行 | host実行より制御しやすい |
| チーム利用 | 専用runtimeと組み合わせやすい |
| 事故対応 | 影響範囲を把握しやすい |
ただし、sandboxがあっても、botに広い認証情報を見せていたり、外部送信権限が広かったり、Slackから多人数が自由に指示できたりすれば、別の経路で問題が起きる可能性があります。
OpenClaw公式Securityページでも、sandboxingとhost isolationは強い境界を作る手段として推奨されていますが、それでもOpenClawは敵対的なマルチテナント境界ではないという前提が置かれています。
引用元: https://docs.openclaw.ai/gateway/security
🧩 sandboxと一緒に見る設定
| 領域 | 見る設定 |
|---|---|
| ファイル | tools.fs.workspaceOnly: true |
| exec | security: denyまたはask: always |
| elevated | enabled: false |
| tool profile | messagingやminimal |
| Slack/DM | allowlistやpairing |
| Gateway | loopback + token |
| ログ | redactionと権限 |
noteのClawCon Tokyoレポートでも、企業利用では1人1インスタンス、または信頼境界ごとにゲートウェイを分ける考え方が示されています。さらに、NemoClawのようなネットワーク制御の下位レイヤーにも触れられています。
引用元: https://note.com/shugo/n/naefa306f9b23
実務的には、最初から強い権限で全機能を開けるより、read-heavyな用途から始めるのがよいかなと思います。調査、要約、社内ドキュメント参照などです。更新、送信、コマンド実行、自動投稿などは、承認導線とログ監査が整ってから広げる方が扱いやすいです。
security auditは設定変更後に必ず見る診断軸
OpenClawにはopenclaw security auditという診断コマンドがあります。これは、workspaceOnlyのような個別設定だけでなく、Gateway露出、ファイル権限、DMポリシー、exec承認、ブラウザ制御など、よくある危険な設定をまとめて確認するためのものです。
公式ドキュメントでは、通常のaudit、deep audit、fix、json出力が紹介されています。特に設定を変えたあと、リモートアクセスを追加したあと、SlackやDM連携を追加したあとには、--deepで見るのがよいです。
🧪 auditコマンドの使い分け
| コマンド | 用途 |
|---|---|
openclaw security audit |
基本チェック |
openclaw security audit --deep |
より深い露出確認 |
openclaw security audit --fix |
一部設定の自動修正 |
openclaw security audit --json |
機械的な記録や監査用 |
--fixは便利ですが、何でも自動で安全にしてくれる魔法ではありません。公式ドキュメントでも、--fixは意図的に狭い範囲の修正に留まると説明されています。つまり、直してくれる部分もあるけれど、運用設計そのものは人間が見る必要があります。
OpenClaw公式Securityページでは、auditがGateway auth exposure、browser control exposure、elevated allowlists、filesystem permissions、permissive exec approvals、open-channel tool exposureなどを確認すると説明されています。
引用元: https://docs.openclaw.ai/gateway/security
🔎 auditで見たいリスク
| リスク | 何が怖いか |
|---|---|
| Gateway auth exposure | 外部から制御面へ届く可能性 |
| open DM/group policy | 想定外の人がbotを起動する可能性 |
| permissive exec | コマンド実行の影響が広がる可能性 |
| filesystem permissions | 設定やログが読まれる可能性 |
| browser control exposure | 認証済みセッション悪用の可能性 |
| elevated allowlists | 強い権限が広がる可能性 |
noteのOpenClaw入門記事でも、インストール後のセキュリティ設定としてDMアクセス、ツールアクセスポリシー、APIキー管理、ネットワークセキュリティ、security auditが紹介されています。
引用元: https://note.com/douga_hanbai/n/n5f14ae184b57
仕事で使うなら、audit結果を「一回見て終わり」にしない方がよいです。新しいチャンネルを追加した、スキルを入れた、バージョンアップした、外部アクセスを試した。このタイミングで再チェックするだけでも、かなり事故を減らしやすくなります。
🗂️ 運用チェックのタイミング
| タイミング | やること |
|---|---|
| 初期設定後 | audit --deep |
| Slack追加後 | allowlistとDM scope確認 |
| スキル追加後 | skill内容とaudit確認 |
| アップデート後 | バージョンとAdvisory確認 |
| 外部公開前 | Gatewayと認証を重点確認 |
| 月次 | 権限・ログ・tokenを見直し |
workspaceOnlyの設定だけを見ていると、全体の露出を見落としやすいです。auditは、その見落としを拾うための定期点検として使うのが合っています。
skills blockedや外部スキルは解除より原因確認が先
OpenClawでは、スキルがblockedになることがあります。検索中にworkspaceOnlyと一緒に「skills blocked」系の記事へたどり着く人もいるかもしれません。ここで大事なのは、ブロック解除を急がず、まず理由を確認することです。
Skyworkの記事では、OpenClaw Skills Blockedについて、依存関係の欠如、セキュリティ介入、ユーザー設定、バージョン非互換などの理由が整理されています。ただし、本文中の発生頻度や一部事件名・数値については、調べた限りで一次情報をすべて確認できたわけではありません。論点整理として読むのがよいです。
引用元: https://skywork.ai/skypage/ja/openclaw-skills-ai-security-guide/2047543776243740672
🧰 skills blockedで見る順番
| 順番 | 確認内容 |
|---|---|
| 1 | スキル名と状態 |
| 2 | SKILL.mdの要求依存関係 |
| 3 | openclaw.jsonのenabled設定 |
| 4 | セキュリティ警告の有無 |
| 5 | 外部通信やスクリプトの有無 |
| 6 | 公式・信頼できる配布元か |
スキルは便利ですが、AIエージェントに新しい能力を渡すものです。外部サイトにアクセスする、ファイルを読む、コマンドを実行する、APIを呼ぶ。こうした動きが入るなら、workspaceOnlyだけでは足りません。
特に、SKILL.mdに外部URLへの送信、curl | shのような危険になりやすいパターン、認証情報を扱う処理、過度に広いファイルアクセスがある場合は、慎重に見る必要があります。
⚠️ 外部スキルで注意したいサイン
| サイン | 理由 |
|---|---|
| 不明な外部URLへ送信 | データ流出リスクを確認したい |
| shell実行が多い | 実行権限が広がりやすい |
| 認証情報を読む | token/APIキー露出に注意 |
| 依存関係が多い | サプライチェーン確認が必要 |
| 更新が止まっている | 脆弱性対応が遅れる可能性 |
| 説明が曖昧 | 何をするか判断しにくい |
Rent a Macの記事でも、スキルマーケットプレイス周辺のリスクや、スキルを1つずつ確認する重要性が書かれています。数値や事例は一次確認が必要な部分もありますが、スキルを盲目的に入れないという姿勢は妥当です。
引用元: https://rentamac.io/secure-openclaw-mac-mini/
blocked状態を解除する場合でも、「必要な依存関係がないだけなのか」「セキュリティ上の理由なのか」は必ず分けた方がよいです。依存関係不足なら環境整備で済むかもしれませんが、セキュリティ警告なら解除しない判断もあります。
仕事で使う環境では、スキル追加を小さく始めるのがおすすめです。まず1つだけ追加し、動作・ログ・auditを確認する。問題なければ次を追加する。大量に一気に入れると、あとから原因が追いにくいです。
会社利用は1人1インスタンスまたは信頼境界ごとの分離
OpenClawを会社で使う場合、workspaceOnlyよりも大きなテーマがあります。それが信頼境界です。誰が同じOpenClawを使うのか、同じ認証情報を共有するのか、同じ実行環境に入るのか。この設計がかなり重要です。
OpenClaw公式ドキュメントでは、OpenClawはpersonal assistant security modelを前提にしており、敵対的な複数ユーザーが1つのagent/gatewayを共有するための境界ではないと説明されています。
引用元: https://docs.openclaw.ai/gateway/security
企業利用では「会社のSlackに1つbotを入れれば便利」という発想になりがちです。でも、botがファイル、ブラウザ、exec、外部APIに触れるなら、そのbotを操作できる人全員が、間接的に同じ権限を使える可能性があります。
🏢 会社利用で分けたい境界
| 境界 | 分ける理由 |
|---|---|
| 個人用 | 個人の認証済みセッションを守る |
| チーム用 | 業務範囲を限定する |
| 検証用 | 失敗しても本番へ影響しにくい |
| 本番用 | 権限とログ監査を厳格にする |
| 高機密用 | 専用host/VM/アカウントで分離する |
noteのClawCon Tokyoレポートでは、企業での基本原則として、1人1インスタンス、または信頼境界ごとにゲートウェイを分ける考え方が紹介されています。
引用元: https://note.com/shugo/n/naefa306f9b23
これはかなり実務的です。1つのOpenClawに全員が話しかけるより、個人ごと、用途ごと、チームごとに分けた方が、何か起きたときに止めやすく、原因も追いやすいです。
🧭 導入パターンの比較
| パターン | メリット | 注意点 |
|---|---|---|
| 1人1インスタンス | 個人境界が明確 | 管理数が増える |
| チーム共有 | 運用しやすい | 同じ権限を共有しやすい |
| 用途別runtime | 影響範囲を限定しやすい | 設計が必要 |
| 本番/検証分離 | 安全確認しやすい | 初期構築が少し増える |
| 個人PC流用 | 始めやすい | 個人データ混在に注意 |
会社利用で特に避けたいのは、個人用ブラウザプロファイル、個人のGoogle/Appleアカウント、パスワードマネージャー、会社bot用runtimeを同じ状態に混ぜることです。便利ですが、境界が崩れます。
OpenClawを働き方やAI活用に使うなら、最初は「小さく、読取り中心、専用環境、権限少なめ」が扱いやすいです。成果を見ながら、更新や送信などのwrite-heavyな操作を追加していく方が、ビジネス上も事故りにくいかなと思います。
ログと認証情報はworkspaceOnlyとは別に守る対象
workspaceOnlyはファイル操作の範囲を絞る設定ですが、ログと認証情報は別レイヤーで守る必要があります。ここを混同すると、「workspaceOnlyをtrueにしたからAPIキーも安全」と思ってしまうかもしれません。
OpenClaw公式Securityページでは、ローカルセッションログがディスク上に残ること、ログやtranscriptsのredaction、secrets on disk、workspace .env filesなどが扱われています。
引用元: https://docs.openclaw.ai/gateway/security
AIエージェントのログには、会話内容、ツール呼び出し、ファイルパス、場合によっては内部情報が入る可能性があります。APIキーやBearerトークンがログに残ると、ファイル操作範囲とは別のリスクになります。
🔐 守る対象の違い
| 対象 | 主なリスク | 対策方向 |
|---|---|---|
| workspace | 作業対象ファイルの誤操作 | workspaceOnly: true |
| logs | 会話・ツール引数の漏えい | redaction、権限管理 |
| secrets | APIキーやtokenの露出 | secrets管理、環境変数 |
| browser profile | 認証済みセッション悪用 | 専用profile |
| config | Gatewayやtool権限変更 | ファイル権限、監査 |
noteのClawCon Tokyoレポートでも、APIキーや内部パスがログに残らないようにする設定、シークレットの分離、設定ファイル権限の重要性が紹介されています。
引用元: https://note.com/shugo/n/naefa306f9b23
logging.redactSensitiveやredactPatternsのような設定は、ログ上の機密情報を減らすために使われます。ただし、パターンに合わない独自tokenや社内システムのキーがある場合は、自社向けのマスクルールも考える必要があります。
🧾 ログ・認証情報チェック表
| チェック項目 | 見る内容 |
|---|---|
| APIキー | configに平文で置いていないか |
| secrets | 専用管理に寄せているか |
| logs | tokenや内部パスが残っていないか |
| permissions | 設定・ログファイルが広く読めないか |
| browser | 個人プロファイルを使っていないか |
| token rotation | 定期的に交換できるか |
workspaceOnlyで守れるのは、あくまでファイル操作の境界です。ログに情報が残る問題、認証済みブラウザをAIが使える問題、Slackで出力してしまう問題は、別の対策が必要になります。
ここは働き方AI活用の現場でもかなり大事です。便利な自動化ほど、知らないうちにログやtokenが増えます。最初から「何を残すか」「誰が見られるか」「漏れたらどう止めるか」を決めておくと、あとで安心です。
総括:openclaw workspaceonlyのまとめ
最後に記事のポイントをまとめます。
openclaw workspaceonlyは、主にtools.fs.workspaceOnlyの意味や挙動を調べる検索意図である。tools.fs.workspaceOnly: trueは、OpenClawのファイルアクセスを作業スペース内へ絞るための設定である。workspaceOnlyは重要だが、OpenClaw全体の安全性を完成させる万能設定ではない。workspaceOnly: falseでもWrite/Editが外部パスへ書き込めない報告は、GitHub Issueで確認されている挙動差である。workspaceOnly: falseの不具合報告と、imageツールのworkspaceOnly回避脆弱性は別の話である。- imageツールの境界回避は、JVNやGitLab Advisoryで情報漏えいリスクとして整理されている。
- 既知の脆弱性が心配な場合は、OpenClawのバージョン、Advisory ID、修正版を確認する必要がある。
- Slack連携では、
workspaceOnlyだけでなく、誰がbotを起動できるか、botが何を見えるか、何ができるかを見る必要がある。 - OpenClaw公式は、personal assistant security modelを前提にしており、敵対的な複数ユーザー共有の強い境界ではない。
- 会社利用では、1人1インスタンス、または信頼境界ごとのgateway/runtime分離が重要である。
- Gatewayは
loopbackとtoken認証を基本にし、不用意なpublic exposureを避けるべきである。 - sandboxは有効な防御層だが、ログ、認証情報、Slack権限、外部送信まで含めた多層設計が必要である。
openclaw security auditと--deepは、設定変更後やチャンネル追加後に見るべき診断軸である。- 外部スキルがblockedになった場合は、解除よりも原因確認、依存関係確認、セキュリティ確認が先である。
- ログと認証情報は、
workspaceOnlyとは別にredaction、secrets管理、ファイル権限で守る対象である。
- https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-010907.html
- https://zenn.dev/t0yohei/articles/cb0670ecf0cad7
- https://github.com/openclaw/openclaw/issues/29817
- https://skywork.ai/skypage/ja/openclaw-skills-ai-security-guide/2047543776243740672
- https://note.com/shugo/n/naefa306f9b23
- https://docs.openclaw.ai/gateway/security
- https://github.com/openclaw/openclaw/issues/31716
- https://advisories.gitlab.com/npm/openclaw/GHSA-q6qf-4p5j-r25g/
- https://note.com/douga_hanbai/n/n5f14ae184b57
- https://rentamac.io/secure-openclaw-mac-mini/
各サイト運営者様へ
有益な情報をご公開いただき、誠にありがとうございます。
感謝の意を込め、このリンクはSEO効果がある形で設置させていただいております。
※リンクには nofollow 属性を付与しておりませんので、一定のSEO効果が見込まれるなど、サイト運営者様にとってもメリットとなれば幸いです。
当サイトは、インターネット上に散在する有益な情報を収集し、要約・編集してわかりやすくお届けすることを目的としたメディアです。
引用や参照の方法に不備、あるいはご不快に感じられる点がございましたら、お問い合わせフォームよりご連絡ください。
今後とも、どうぞよろしくお願いいたします。
