エグゼクティブサマリー
OpenClaw(以前はClawdbotおよびMoltbotとして知られていた)などのエージェントAIツールは、組織にとって新しいクラスの脅威を表しており、正当なユーザーアクティビティと企業システムへの未承認の自律的なアクセスとの境界線を曖昧にしています。
従業員は、メールアクセス、カレンダースケジューリング、メッセージングなどの個人用アシスタント機能によるOpenClawの認識される利便性に惹かれる可能性がありますが、企業データへの規制されていない全面的なアクセス権を付与することに関連するリスクを十分に認識していない場合があります。高度な監視と分析がなければ、ITおよびセキュリティチームは、正当な人間の行動とユーザーに代わって行動するOpenClawエージェントを区別するのが難しい場合があります。どちらも同じ認証APIとセッションを通じて企業リソースにアクセスしているためです。
このアドバイザリでは、Jamf Security Cloud、Jamf Protect、およびJamf Proを一緒に使用して、管理されたmacOSデバイス上の未承認のOpenClaw使用に対する多層防御を実装する方法について説明しています。コントロールには、ネットワークレベルのブロッキング、バイナリ実行防止、エンドポイント検出分析、SIEM遠隔測定、インベントリベースの検出、および自動削除が含まれます。
単独では十分なコントロールはありません。Jamfは、防御の深さのために、以下の複数の方法を組み合わせてデプロイすることをお勧めします。
Jamf Security Cloud - コンテンツフィルタリング & ブロッキング
Jamf Security Cloudには、カテゴリベースのコンテンツフィルタリングおよびネットワークブロッキング機能が含まれており、組織はアプリケーションおよびWebサイトのカテゴリのアクセスを監視および制御できます。
OpenClawに関連する以下の一般的なドメインは、現在**「その他の生成型AI」**コンテンツフィルタリングカテゴリに含まれています:
- openclaw.ai
- clawhub.ai
- open-claw.me
- molt.bot
- openclaw.bot
OpenClawおよびこのカテゴリ内の他のツールへのアクセスをブロックしたい組織は、Jamf Security Cloudのポリシーセクション内でコンテンツフィルタリングポリシーを構成できます:
注意
このカテゴリをブロックすると、OpenClawウェブサイトからの最も一般的なワンライナーインストール方法が軽減されますが、高度なユーザーは、GitHubリポジトリの指示を使用してnpmまたは他のパッケージマネージャーを通じて直接インストールすることができます。そのため、このコントロールとブロック方法を、この記事に記載されている他の可視性および修復コントロールと組み合わせて検討してください。
Jamf Protect - カスタム防止リスト(OpenClaw Companion App)
OpenClawは、macOS用のオプションのコンパニオンアプリをサポートしており、ローカルまたはリモートのOpenClawゲートウェイインスタンスにカメラおよびスクリーン録画アクセスなどの追加のプラットフォームベースのツールを公開しています。このコンパニオンアプリは署名されたmacOSバイナリであるため、Jamf Protectのカスタム防止リストを使用して、管理されたデバイス上でのランタイム実行をブロックできます。
このブロックを実装するには、Jamf Protectポータル内で脅威防止 > カスタム防止リストに移動し、防止リストを作成をクリックします。新しいリストに*「OpenClaw Companion Appをブロック」などの名前を付け、防止タイプとして「署名情報」*を選択します。次に、以下の防止方法のいずれかを選択します(どちらでもアプリの現在のバリアントをブロックするのに受け入れられます):
- チームID:
Y5PE65HELJ - 署名ID:
bot.molt.mac
これにより、コンパニオンアプリは起動時にブロックされ、ユーザーにアクティブなブロックプロンプトが表示されます:
注意
脅威防止下のカスタム防止リストは、OpenClawコンパニオンアプリのランタイム実行をブロックしますが、必要な署名識別子が不足しているため、OpenClawゲートウェイバイナリとLaunchAgentはブロックしません。この防止方法は、ユーザーがコンパニオンアプリをデバイスにインストールして実行しないようにするのに役立ちますが、macOS上のOpenClawをブロックするのに十分ではありません。
Jamf Protect - カスタム分析
Jamfは、環境内のOpenClawのインストール、永続性、および呼び出しを検出したい組織をサポートするために、一連のJamf Protect カスタム分析を公開しています。これらのカスタム分析は、Jamf Protectのフィルターベースの分析エンジンを使用してファイルシステムおよびプロセス検出を実行し、デバイス上のOpenClawアーティファクトを検出し、Jamf Protect警告を通じてレポートバックします。
顧客は、以下のすべての分析を実装するか、要件に基づいてサブセットを選択できます。また、分析はJamf Protectリソース GitHubリポジトリでYAML定義として利用可能です。
フィルターテキストからカスタム分析を作成する方法
- Jamf Protectポータルで、構成 > 分析に移動し、作成をクリックします
- センサータイプを以下の各分析に指定されている値に設定します(ファイルシステムまたはプロセスのいずれか)
- 分析フィルターセクションで、フィルターテキストビューに切り替えます
- 以下でインラインで提供されるフィルター式を貼り付けます
- 重大度とあらゆる必要な分析アクション(影響を受けるデバイスをJamf Pro Smart Groupに追加するなど)を構成します
OpenClawインストール
| フィールド | 値 |
|---|---|
| 名前 | OpenClawInstallation |
| センサータイプ | Process Event |
| 説明 | openclaw.aiからのOpenClawインストールコマンドの検出。 |
フィルター(テキストビュー)コンテンツ:
$event.type == 1 AND
$event.process.args.@count > 1 AND
(
(
(ANY $event.process.args CONTAINS[c] "npm") AND
(ANY $event.process.args BEGINSWITH "openclaw") AND
(
(ANY $event.process.args == "i") OR
(ANY $event.process.args == "install") OR
(ANY $event.process.args == "add") OR
(ANY $event.process.args == "in") OR
(ANY $event.process.args == "ins") OR
(ANY $event.process.args == "inst") OR
(ANY $event.process.args == "insta") OR
(ANY $event.process.args == "instal") OR
(ANY $event.process.args == "isnt") OR
(ANY $event.process.args == "isnta") OR
(ANY $event.process.args == "isntal") OR
(ANY $event.process.args == "isntall")
) AND
$event.process.path.lastPathComponent == "node"
) OR
(
(ANY $event.process.args BEGINSWITH "openclaw") AND
(ANY $event.process.args == "add") AND
$event.process.path.lastPathComponent == "pnpm"
)
)
ClawHubスキルインストール
| フィールド | 値 |
|---|---|
| 名前 | ClawHubSkillsInstall |
| センサータイプ | Process Event |
| 説明 | npx、pnpm、またはbunコマンド経由でClawHubからインストールされたスキルの検出。 |
フィルター(テキストビュー)コンテンツ:
$event.type == 1 AND
$event.process.args.@count > 1 AND
(
(
(
(
(ANY $event.process.args CONTAINS[c] "/npx") OR
(ANY $event.process.args CONTAINS[c] "/pnpm")
) AND
(ANY $event.process.args BEGINSWITH[c] "clawhub")
) OR
(
(ANY $event.process.args CONTAINS[c] "/bunx-") AND
(ANY $event.process.args CONTAINS[c] "/clawhub")
)
) AND
(ANY $event.process.args == "install") AND
$event.process.path.lastPathComponent == "node"
)
OpenClawオンボード
| フィールド | 値 |
|---|---|
| 名前 | OpenClawOnboard |
| センサータイプ | Process Event |
| 説明 | セットアップを開始するためのOpenClawオンボードコマンドの検出。 |
フィルター(テキストビュー)コンテンツ:
$event.type == 1 AND
$event.process.args.@count > 1 AND
(
(ANY $event.process.args CONTAINS[c] "openclaw") AND
(ANY $event.process.args == "onboard")
) AND
$event.process.parent.path.lastPathComponent == "node"
OpenClawゲートウェイ永続性
| フィールド | 値 |
|---|---|
| 名前 | OpenClawGatewayPersistence |
| センサータイプ | File System Event |
| 説明 | OpenClawのゲートウェイ永続性(~/Library/LaunchAgents/ai.openclaw.gateway.plist)の検出。 |
フィルター(テキストビュー)コンテンツ:
("LaunchDaemon" IN $tags OR "LaunchAgent" IN $tags) AND
$event.path.lastPathComponent BEGINSWITH "ai.openclaw."
OpenClawディレクトリ作成
| フィールド | 値 |
|---|---|
| 名前 | OpenClawDirectoryCreated |
| センサータイプ | File System Event |
| 説明 | セットアップ時に作成されるOpenClawの隠しワークスペースディレクトリ(.openclaw)の検出。 |
フィルター(テキストビュー)コンテンツ:
$event.path MATCHES "\\/Users\\/[^\\/]+\\/\\.openclaw" AND
$event.isNewDirectory == 1
Jamf Protect - 高度な脅威コントロール
macOS上のOpenClawの使用から生じる可能性のある潜在的な攻撃技術の1つは、ユーザーをマルウェアおよび情報スティーラーのインストールに誘導しようとする悪意のあるスキルに関連しています。
Jamf Protectの高度な脅威コントロールは、安全でない、または悪意のあるアクティビティが検出されたときに介入するように設計されており、これらの悪意のあるスキルに接続されたマルウェアで直接観察された一般的な技術に対する保護を提供します。
組織は、Jamf Protect内で高度な脅威コントロールとエンドポイント脅威防止の両方を有効にし、リスク許容度と運用要件に応じてブロックとレポートまたはレポートのみを選択できます。
Jamf Protect - テレメトリ
顧客はmacOS用Jamf Protectテレメトリを使用して、システムおよびユーザーイベントログデータを収集し、選択したSIEMまたは保存場所に送信できます。
Jamf Threat Labsチームは、一般的なOpenClawインストールおよび呼び出しコマンド用の一連のSigmaルールを作成しました。これは、多くのSIEMソリューションにインポートおよび使用できます:
リポジトリ: jamf/jamfprotect — agentic_detections (Telemetry)
最小限として、デバイスは、これらのプロセスベースのexec検出を活用するために、テレメトリセットの一部として「アプリケーションおよびプロセス」ログ収集用に構成されている必要があります。
Jamf Pro - 拡張属性検出スクリプト
Jamfは、OpenClawのインベントリベースの検出用に2つの拡張属性スクリプトを公開しています:
- OpenClaw検出拡張属性 - この拡張属性スクリプトは、ウェブサイトおよびnpmインストール、ゲートウェイ起動エージェント、デバイス上のDockerコンテナを含む、OpenClawの様々な形式およびアーティファクトを検出します
- OpenClawインストール済みスキル検出拡張属性 - この拡張属性スクリプトは、デバイス上のOpenClawワークスペースおよびセッションに現在インストールされているスキルを一覧表示します
スキルは、APIへのアクセスやユーザーの代わりにアプリケーションを使用するなど、特定のタスクを実行する方法についてLLM/エージェントに指示を提供するマークダウンベースのファイルです。OpenClawを許可する組織は、使用中のスキルを別途報告したい場合があり、または特定の悪意のあるスキルを別途監査したい場合があります。
各スクリプトは、Jamf Proのコンピューター拡張属性として追加され、標準のインベントリ更新ポリシーの一部としてOpenClawとそのインストール済みスキルの存在をレポートできます。
検出の詳細には、OpenClawが検出されたユーザーとワークスペース、現在のゲートウェイ実行ステータス、および現在インストールされているまたは使用中のスキルのリストが含まれます:
自動修復を追求したい顧客の場合、これらの拡張属性を通じた検出は、Jamf Pro Smart Group述語の基礎として使用されて、デバイス上で自動修復ポリシーをトリガーできます。
Jamf Pro - ポリシー経由の修復と削除
OpenClawがデバイスで検出されたら、組織は手動または自動の修復と削除を実装したい場合があります。ポリシーベースのスクリプトを実行するJamf Proの能力は、修復が行われる方法に柔軟性を提供し、Jamf Pro拡張属性またはJamf Protect Custom Analytics(分析修復を含む)と統合して、明確な監査とログの追跡を伴う自動ポリシーベースの削除を実行できます。
Jamfは、macOS上のOpenClawのさまざまな形式を削除できるOpenClaw削除スクリプトを作成しています。現在のところ、これには以下の削除が含まれます:
- openclaw.aiからの
curlベースのワンライナーインストールコマンドを使用してインストールされたバイナリ - npm、pnpm、およびbunパッケージマネージャーを使用してインストールされたバイナリ
- macOS OpenClaw Companion App
openclaw命名に一致するDockerイメージとコンテナ- ゲートウェイサービスとLaunchAgent
- 各ユーザーの
.openclawワーキング/ワークスペースディレクトリ
Jamf Proを使用してOpenClawの修復と削除を構成するには、新しいスクリプトとポリシーを作成し、そのスコープを、手動で、または上記の検出メカニズムのいずれかに基づいてメンバーシップを持つSmart Group経由でコンピューターに割り当てることができます。
注意
openclaw_removal.shスクリプトは、執筆時点での最も一般的な形式の現在のイテレーションのOpenClawとそのアーティファクトを削除するのに最善の努力を提供するために作成および提供されています。これは、OpenClawのすべての形式(ソースベースのインストール、ユーザーがOpenClawの存在を意図的に難読化した場所など、バイナリまたはディレクトリ名を変更するなど)の削除には網羅的ではありません。これらのツールが進化するにつれて、他の検出方法を使用して削除が適切に検証されていることを確認するために注意が必要です。
注意
OpenClawがシステムから検出および削除されたら、削除後の修復の追加の手順が必要になる場合があります。接続されたサービス(Google/Gmail、Microsoft、GitHub)またはコーポレートLLMまたは推論プロバイダー(Anthropic、OpenAIなど)のトークンまたはセッションを取り消す必要があるかどうかを検討してください
参考資料およびさらに読む
Jamfドキュメント
- コンテンツフィルタリング — 利用可能なサイトカテゴリ
- コンテンツフィルタリングポリシーを構成する
- カスタム防止リスト
- 分析の作成
- 高度な脅威コントロール
- エンドポイント脅威防止
- テレメトリ
- テレメトリセットの作成
- コンピューター拡張属性(Jamf Pro)
- Smart Groups(Jamf Pro)
- スクリプト(Jamf Pro)
Jamf GitHubリソース
- カスタム分析検出 — エージェント検出
- テレメトリSigmaルール — エージェント検出
- 拡張属性 — OpenClaw検出
- 拡張属性 — OpenClawインストール済みスキル検出
- 削除スクリプト — OpenClaw