TU BerlinおよびMax Planck Institute for Security and Privacyの研究者は、オペレーティングシステムセキュリティの観点からLLMベースのエージェントの体系的なセキュリティ分析を発表しました。このペーパーはOpenClaw形式のエージェントを調査し、統一されたエージェントアーキテクチャを導き出し、広く使用されている4つのエージェントを評価しています。この研究により、いくつかの保護メカニズムが適度な攻撃者能力下で失敗し、安全な運用には詳細なシステムナレッジと慎重な設定が必要であることが判明しました。

この研究は、AIエージェントとオペレーティングシステムが類似した保護上の課題に直面していることを示しています。両者とも信頼されていないプリンシパルに代わってアクションを実行し、制御されたインターフェースを通じて特権機能を公開し、セキュリティ境界を越えてデータと権限が渡されるのを防止する必要があります。このアナロジーは、LLMを信頼されていないユーザーに、エージェントランタイムをカーネルに、ツールをシステムコールに、スキルをプログラムに、LLMコンテキストをプロセスメモリにマッピングします。

OpenClaw形式のエージェントおよび広範なツール使用、第三者スキル統合、および永続的な状態を公開する同様のシステム。脆弱性分析はアーキテクチャベースであり、実装固有ではなく、自律型エージェントフレームワークのより広いクラスに適用されます。

確立されたOSセキュリティ原則を適用する: 隔離、権限分離、仲介、閉じ込め、および最小権限。層ごとの信頼強制ではなく、統一されたポリシー境界を実装する。エージェントコンテキストを信頼されていないメモリとして扱う。スキル実行をサンドボックス化する。ツール呼び出しに対して強制アクセス制御を適用する。および帰属と監査のためにすべての特権操作をログに記録する。

Apply established OS security principles: isolation, privilege separation, mediation, confinement, and least privilege. Implement unified policy boundaries rather than per-layer trust enforcement. Treat agent context as untrusted memory; sandbox skill execution; enforce mandatory access control on tool invocations; and log all privileged operations for attribution and audit.