寝ている間も動くエージェントのログは、誰でも書き換えられる平文ファイルです。エージェント自身も編集できます。
この記事では、OpenClaw向け監査プラグイン「Gate OC Audit」が、行動記録を改ざん検知可能な証跡に変える仕組みと、導入の手順を整理します。
この記事でわかること
- Gate OC Auditが解決する課題と、平文ログの限界
- SHA-256とSparse Merkle Treeによる改ざん検知の仕組み
- インストールから検証コマンドまでの使い方
- ローカル保存と外部アンカーの設計上の注意点
平文ログでは「何が起きたか」を証明できない
OpenClawは、WhatsAppやSlackなど複数チャネルから応答するパーソナルAIアシスタントです。エージェントはツール呼び出し、メール送信、cron実行など、ユーザーの代わりに自律的に動きます。
通常のセッションログやテキストファイルは、後から誰でも編集できます。運用者が履歴を改ざんしたのか、エージェントが自分の痕跡を消したのか、ファイルを見ただけでは区別できません。
OpenClaw本体には設定や権限を点検する openclaw security audit があります。これは設定ミスやサンドボックスの緩さを検出するツールで、エージェントの行動そのものを改ざん耐性のある証跡として残すものではありません。2026年時点で、コアへの組み込み監査ログ追加は「プラグイン/拡張で進めるべき」として見送られています(参考)。
Gate OC Auditとは
Gate OC Audit(@constellation-network/gate-oc-audit)は、Constellation Labsが公開するOpenClaw向け監査プラグインです。ライセンスはApache-2.0で、npmから無料で導入できます。
Constellation²氏の紹介では、「エージェントが書くログは平文で改ざん可能。Gate OC Auditがそれを証拠に変える」と説明されています。単なる感想ではなく、CLIコマンドや検証フローが具体的に示されています。
記録先はクラウドではなく、マシン上のSQLiteファイルです。ファイル権限は0600(所有者のみ読み書き)で作成されます。アカウント登録やクラウドへのログ送信は不要です。
主な機能
行動の記録と再生
セッション開始・終了、ツール呼び出し、LLM入出力、cron実行、プラグイン/スキルのインストールなど、エージェントのライフサイクルイベントを自動記録します。
openclaw audit report session <id> で、重複を除いたタイムラインを秒単位で再生できます。許可(allow)と拒否(block)の判断と理由もインラインで確認できます。
異常検知と通知
組み込みの検出器が、重複したアウトバウンドメッセージ、初めて使われたツール、拒否の急増などをフラグします。fileWatchPatterns でエージェントの設定やスキルファイルを監視し、変更があればWebhook(Slack、Discordなど)へ通知できます。
日次・週次のダイジェストは reportWebhook で別チャネルに配信でき、CLIを毎日叩く運用を減らせます。
ローカルダッシュボード
openclaw audit ui でループバック専用のダッシュボードを起動します。CLIと同じデータをブラウザで閲覧し、セッション再生や検証結果の確認ができます。
改ざん検知の仕組み
Gate OC Auditは、各イベントをRFC-8785形式の正規化JSONに対するSHA-256ハッシュで記録します。ハッシュはSparse Merkle Tree(SMT)に蓄積され、およそ60秒ごとのチェックポイントで整合性が確定します。
イベントの挿入・変更・削除はSMTルートの変化として検出されます。openclaw audit verify を実行すると、SMTの再計算とDigital Evidenceチェックポイントの整合性をオフラインで確認できます。検証に成功すれば終了コード0、失敗すれば1を返します。
オプションでConstellation Digital Evidenceネットワークへアンカーできます。外部に送るのは32バイトのMerkleルートのみで、プロンプト本文などのコンテンツは端末外に出ません。第三者はリーフ、ルート、兄弟ノードを手元で再計算し、Gateを信頼しなくても整合性を検証できます。
機密情報はツール引数から再帰的にマスクされます。secret、password、token、apiKey などのキーは記録前に除去されます。プロンプト本文は設定によりSHA-256フィンガープリントのみ保存するモードも選べます。
導入手順
openclaw plugins install @constellation-network/gate-oc-audit
openclaw audit setup
openclaw audit setup は対話型ウィザードです。plugins.allow への追加、hooks.allowConversationAccess の有効化(プロンプト入出力の記録に必要)、Digital Evidenceアンカーの設定を案内します。
導入後は openclaw audit status で稼働状態を確認します。ストレージ使用量、整合性ヘッド、会話フックの状態、アンカー状況、インベントリ件数が1画面にまとまります。
動作要件はOpenClaw 2026.4.24以上、Node.js 22.13以上です。内蔵の node:sqlite を使うため、追加のネイティブ依存は不要です。
設計上の限界と運用の注意
Gate OC Auditは「改ざんを検知する」監査であり、「悪意ある記録そのものを防ぐ」アクセス制御ではありません。侵害されたエージェントは、嘘のイベントを正規のハッシュチェーンに追加することは可能です。ログファイルの削除にも単体では耐えられません。
プラグインはフェイルオープン設計です。監査DBが利用不能な場合、イベントは破棄されますがエージェントは動き続けます。可用性を優先する一方、監査の欠落に気づきにくい点は運用で補う必要があります。
本格的なコンプライアンス運用では、オフマシンへのレプリケーションや、Gate AIゲートウェイによるプロンプトインジェクション防御との併用が推奨されます。Gate OC Auditは記録に特化した無料スタンドアロンプラグインで、同社の有料ゲートウェイとは役割が分かれています。
エージェント運用に監査証跡が必要な理由
AIエージェントは人間の承認なしに外部APIを叩き、ファイルを書き、メッセージを送ります。インシデント調査では「いつ・誰が・何を許可したか」が問われます。EU AI Actの高リスク分類を意識する組織では、自動記録と改ざん耐性が法的要件に直結します。
平文ログのままでは、事後の説明責任を果たせません。Gate OC Auditは、OpenClawの行動をローカルに残し、独立検証可能な形で固定する実務向けの一手です。まずは openclaw audit status で記録が走っているか確認し、問題があれば openclaw audit verify でチェーンの健全性を点検するのが現実的な第一歩です。