Menu
  1. DevOps Hub
  2. ブログ
  3. DevOps
  4. NanoClaw と Docker Sandboxes で実現する、セキュリティファーストな AI エージェント運用
2026.06.24

NanoClaw と Docker Sandboxes で実現する、セキュリティファーストな AI エージェント運用

根本 征 (Tadashi Nemoto)
Docker, Inc.
Strategic Solutions Engineer
このエントリーをはてなブックマークに追加

はじめに

Docker でソリューションエンジニアをしている根本 征です。

本ブログでは軽量・安全に設計された AI エージェント NanoClaw と Docker Sandboxes を使った、セキュリティファーストな AI エージェント運用について紹介します。

目次

AI エージェントが抱えるセキュリティリスクと OpenClaw

OpenClaw はオープンソースのセルフホスト型 AI エージェントで、2025 年 11 月の公開の後、GitHub で急激な注目を集めています。

OpenClaw は一般的なチャットアプリと違い自律的に行動することができ、コマンドの実行、ファイルの読み書き、ブラウザの操作、スケジュールされた自動化タスクの実行などを、Telegram、Discord、Slack などの既存のメッセージングアプリを通じて指示することができます。

一方で OpenClaw は設計上高い権限を与えるのにもかかわらず、簡単に脆弱な状態になりやすいというセキュリティリスクがあります。

docker-202606-01.png

OpenClaw の急伸とセキュリティリスク

背景としては OpenClaw 40 万行以上のコードベースによって攻撃対象領域が拡大しやすく脆弱性が発生しやすい、各コンポーネントが隔離されておらず 1 つの脆弱性が突破されると全体に被害が及んでしまう、マーケットプレイスである ClawHub が当初検証なしでアップロードできたため、悪意のあるスキルが配布されてしまったなどがあります。

実際に 140,000 以上の OpenClaw インスタンスがインターネットに露出してしまっており、そのうち 63% が認証なしで稼働している状況です。

また、2026 年 2 月からの約 2 ヶ月間で 137 の脆弱性(CVEs)が報告されており、その中には ClawBleed や ClawJacked などの深刻な脆弱性も含まれています。

docker-202606-02-nanoclaw.png

NanoClaw

このような状況の中で、より軽量で安全なオープンソースの AI エージェントとして作られたのが NanoClaw です。

NanoClaw は OpenClaw と同等のコア機能を提供しつつ、コードベースは 4000 行以内と非常に軽量な作りになっています。

OpenClaw の 40万行と比べると、人間や AI が監査しやすく、攻撃対象領域や潜在的な脆弱性を少なくすることができます。

また、NanoClaw では設定ファイルや依存するエコシステムをなるべく排除し、Claude Code を使ってカスタマイズを行なっていくという方式を取っています。

そして、NanoClaw では各エージェントがコンテナによって隔離されて実行されており、被害を小さく封じ込めることができるというセキュリティ上のメリットがあります。

最近だとシンガポールの外務大臣が、自身が利用する AI エージェントを NanoClaw で構築したことでも話題になりました。

NanoClaw と Docker Sandboxes で実現する多層防御

Docker ではこの NanoClaw プロジェクトを支援しており、2026 年 3 月に Docker Sandboxes との統合を発表しました。

これによって、NanoClaw をより隔離した環境で安全に実行できるようになります。

docker-202606-03-sbx.png

Docker Sandboxes

Docker Sandboxes について簡単に紹介します、詳細は下記のブログを参考にしていただければと思います。 

Docker Sandboxes で実現する、コーディングエージェントの安全な自律実行 | DevOps Hub | SB C&S

 

Docker Sandboxes はエージェントをホスト上ではなく、隔離された環境で安全に実行できるソリューションです。

軽量な MicroVM で隔離し、エージェントによるファイル操作・コマンド実行などを安全に実現できます。

また、ファイルシステムやネットワーク、認証などをホストマシンから隔離した上で、個別に制御できます。

そして、専用の Docker Daemon によって Docker-in-Docker などセキュリティを犠牲にすることなくコンテナを実行できます。

Docker Sandboxes は主要なコーディングエージェント、Claude Code・Codex・GitHub Copilot・Cursor などをサポートし、既存の開発体験をそのままにエージェントに安全に自律性を与えることができます。

そして Docker Sandboxes は、これらコーディングエージェントだけでなく、NanoClaw をはじめとした Claw 系も動かすことができます。

NanoClaw Docker Sandboxes を組み合わせたアーキテクチャーは以下のようになっています。

docker-202606-04-sbx-nanoclaw.png

NanoClaw + Docker Sandboxes アーキテクチャー

はじめに NanoClaw の仕組みを解説します。

NanoClaw は各チャットツール、Discord・Telegram・Slack・Teams・WhatsApp などと連携することができます。

そして、Orchestrator がチャットの内容に基づいてエージェントを起動する、あるいは Heart Beat(定期実行)によってエージェントを起動します。

各エージェントは Docker コンテナとして隔離されて実行されます。

そして各エージェントは認証情報を持っておらず、ここにある OneCLI を経由してプロキシレベルで認証が注入されます。

そして Docker Sandboxes ですが、この NanoClaw 全体を MicroVM で隔離することができます。

専用の Docker Daemon を備えているため、 ホストや他の環境のコンテナとは隔離された環境で、NanoClaw に必要なコンテナだけを立ち上げることができます。

また、ネットワークプロキシとファイルシステムを備えているため、どの通信を許可・ブロックするか、あるいはどのディレクトリへのアクセスを許可するかを個別に制御することができます。

ローカル LLM(Docker Model Runner) を利用する

NanoClaw はデフォルトで Claude API を利用して動かします。

しかしながら、コストやセキュリティの観点からローカルLLM などを活用して、ローカル環境内で完結したいという需要もあるかと思います。

Docker ではローカル LLM のソリューションとして Docker Model Runner を提供しています、詳細は下記のブログを参考にしていただければと思います。

LLM を簡単にローカルで実行できる Docker Model Runner 〜Docker が提案する新しい生成AIアプリ開発体験〜 | DevOps Hub | SB C&S

docker-202606-05-dmr.png

Docker Model Runner

    Apple Silicon 搭載の Mac あるいは NVIDIA GPU 搭載の Windows / Linux などで利用することができ、普段の Docker を使ったコンテナ開発と同じ体験で AI モデルをネイティブでローカル実行できます。

    AI モデルは OCI アーティファクトとしてパッケージされ、Docker Hub などのコンテナレジストリで共有することができます。

    現在 Docker Hub ではオープンウェイトのAIモデル、OpenAI が提供する gpt-oss や Google が提供する Gemma、NVIDIA が提供する Nemotron、Alibaba Cloud が提供する Qwen などを利用することができます。

    また、Docker Model Runner は OpenAI API や Anthropic API と互換性があるため、アプリケーション側で独自の実装をする必要がなく、SDK やライブラリとシームレスに連携することができます。

    NanoClaw Docker Sandboxes、そして Docker Model Runner を組み合わせたアーキテクチャーは以下のようになっています。

    docker-202606-06-sbx-nanoclaw-dmr.png

    NanoClaw + Docker Sandboxes + Docker Model Runner アーキテクチャー

    先ほどは Claude API を利用していましたが、今回は Docker Model Runner に置き換えています。

    これは Docker Model Runner が Anthropic API と互換性のある API を提供しているため実現しています。

    Docker Model Runner はサンドボックス環境内ではなくホスト上で直接動かす必要があります。

    そして Docker Sandboxes の環境から host.docker.internal:12434 で Docker Model Runner にリクエストを送っています。

    おわりに

    今回は、NanoClaw と Docker Sandboxes を使った、セキュリティファーストな AI エージェント運用について紹介しました。

    AI エージェントは多くの権限を与える上に、自律的に動くことになるので、これまで以上に高いセキュリティ設計が求められるようになります。

    今回ご紹介した NanoClaw や Docker Sandboxes を活用しながら、運用を始める前に安全対策を考慮していただければと思います。

    関連リンク

    https://nanoclaw.dev/

    https://www.docker.com/ja-jp/products/docker-sandboxes/

    この記事の著者:根本 征 (Tadashi Nemoto)

    Docker, Inc.
    Strategic Solutions Engineer

    複数の日系企業でテスト自動化エンジニア・DevOpsエンジニアとして活動した後、プリセールスエンジニアとして DevOpsCI/CD、自動テストを中心にお客様の技術支援や技術発信を行ってきました。2024年日本拠点1人目のプリセールスエンジニアとして Docker に入社。

    この著者の記事一覧

    DevOps Hubのアカウントをフォローして
    更新情報を受け取る

    • Like on Feedly
      follow us in feedly

    関連記事

    このエントリーをはてなブックマークに追加

    お問い合わせ

    DevOpsに関することなら
    お気軽にご相談ください。

    Facebook、TwitterでDevOpsに関する
    情報配信を行っています。

    DevOps Hub