ClawHub 安全インストールガイドライン（詳細版）

ClawHub は世界中の開発者が作成した便利な「スキル」を共有するプラットフォームです。しかし、中には悪意のあるコードや、設定不備によりデータを外部へ送信してしまうリスクのあるスキルが含まれている可能性があります。

本ガイドラインでは、スキルを導入する際の安全確認基準を定義します。

1. 信頼性の確認ポイント

インストールボタンを押す前に、以下の 3 点を確認してください。

1. 作者のプロフィールの確認: 過去の活動実績や、GitHub 上の信頼性をチェック。
2. スター数とフォーク数: 多くのユーザーに利用され、コードが公開されているか。
3. 最終更新日: 1年以上更新されていないスキルは、依存関係の脆弱性が放置されているリスクがあります。

2. コード監査の実施

重要な業務で利用する場合、必ずソースコードを一度確認（Audit）してください。

• 外部通信: fetch や axios などで、意図しないドメインにデータを送っていないか。
• ファイル操作: プロジェクト外の重要なシステムファイルを読み書きしていないか。
• 秘密情報の扱い: API_KEY などの環境変数をログに出力していないか。

3. サンドボックスでの試行

いきなり本番環境（VPS 等）へ導入せず、まずは使い捨てのローカル環境で動作を確認します。

• openclaw install --local <path> を使い、挙動を 24〜48時間観察します。

4. 運用のルール

• 自動更新をオフにする: スキルのアップデートにより後から悪意のあるコードが挿入されるリスクを防ぐため、バージョンを固定して運用します。
• 定期的な棚卸し: 利用していない古いスキルは openclaw uninstall で削除します。

5. セキュリティチェックシート

導入ごとに ClawHub 安全審査テンプレート を埋める運用を推奨します。

次に読むべきページ

• API Key 設定の落とし穴
• セキュリティ基準チェックリスト
• OpenClaw SOP 構築の4ステップ

参考

• GitHub Security Best Practices: https://docs.github.com/en/code-security
• OpenClaw Security Docs: https://docs.openclaw.ai