AI エージェントは、実行時にユーザーとの会話を処理し、外部ツールを呼び出し、長期メモリやサービス認証情報を管理するため、従来のアプリケーションをはるかに超える攻撃対象領域を持ちます。Alibaba Cloud の gn8v-tee ヘテロジニアスコンフィデンシャルコンピューティングインスタンスは、Intel TDX と NVIDIA GPU のコンフィデンシャルコンピューティング機能を活用し、完全な高信頼実行環境 (TEE) を提供します。これらのインスタンス上にオープンソース AI エージェントフレームワーク OpenClaw をデプロイすることで、ハードウェアレベルのデータ保護、リモートアテステーション、サプライチェーンの検証可能性を実現し、モデル推論とユーザーインタラクションのエンドツーエンドのセキュリティを確保できます。
概要
本トピックでは、Intel TDX (Trust Domain Extensions) をサポートする gn8v-tee インスタンスに OpenClaw をデプロイする Confidential Agent ソリューションについて説明します。Qwen3.6-35B-A3B Mixture of Experts (MoE) モデルはインスタンス上でローカルに実行されるため、エージェントの実行とモデル推論は TDX トラストドメイン内で完全に完結します。ユーザー入力、モデルの重み、推論の中間状態、AI の出力は、処理中にコンフィデンシャルインスタンスの信頼境界から外部に出ることはありません。
gn8v-tee は、Alibaba Cloud がリリースした GPU ベースのコンフィデンシャルコンピューティングインスタンスファミリーです。Intel TDX ハードウェア暗号化と NVIDIA GPU アクセラレーションを統合し、AI 推論のパフォーマンスとデータセキュリティコンプライアンスの要件の両方を満たします。本トピックでは、cn-beijing-l ゾーンで Alibaba Cloud Linux 3 を実行する ecs.gn8v-tee.4xlarge を例として使用します。より大規模なワークロードの場合は、マルチ GPU インスタンスタイプにスケールアウトできます。
セキュリティアーキテクチャ
Confidential Agent デプロイにおけるすべてのコアデータは、TEE 境界内で循環します。次の 3 種類の資産は厳重に保護されます。
保護される資産 | 説明 |
ユーザー会話のプライバシー | ユーザー入力、ツール実行コンテキスト、AI 応答。これらには、個人を特定できる情報 (PII)、医療記録、財務データなどの機密情報が含まれる可能性があります。 |
エージェントのメモリと状態 | OpenClaw の長期メモリ、設定、SKILL ファイル。これらは時間の経過とともに蓄積され、高価値のターゲットとなります。 |
サービス認証情報 | DingTalk などの IM プラットフォームの OAuth 認証情報、外部 API キー、ゲートウェイトークン。 |
セキュリティアーキテクチャは、下から上へハードウェア、ブートチェーン、ランタイム、キー管理、通信の 5 つの層をカバーします。
保護層 | メカニズム |
ハードウェア | Intel TDX Memory Encryption Engine (MEE) は、すべてのゲストメモリを透過的に暗号化します。クラウドプロバイダーは平文を読み取ることができません。 |
ブートチェーン | Unified Kernel Image (UKI) + dm-verity rootfs による改ざん保護。リモートアテステーションによりランタイムの完全性を検証します。サプライチェーンの参照値は Rekor 透明性ログに記録されます。 |
ランタイム | PEP ポリシーサンドボックスは、高リスクコマンドと機密パスへのアクセスをブロックし、プロンプトインジェクションによる権限昇格を防ぎます。 |
キー管理 | ディスク暗号化キーは、ブート時にリモートアテステーションチャレンジを通じて注入され、ユーザーがローカルで保持します。クラウドプロバイダーは関与しません。 |
通信 | RATS-TLS エンドツーエンド暗号化。暗号化チャネルは、リモートアテステーションがインスタンス ID を検証した後にのみ確立されます。すべての通信は転送時に暗号化されます。 |
デプロイワークフロー
ソースコード監査:デプロイヤーは、ビジネスソースコードを監査し、悪意のあるコードやバックドアが存在しないことを確認します。
アーティファクトのビルドとソフトウェア参照値の公開:監査済みソースコードから OpenClaw サービスのみを含む軽量 OS イメージをビルドし、ビルドアーティファクトの SLSA 署名を Rekor 透明性ログにアップロードして、ソフトウェア参照値を公開します。
コンフィデンシャルインスタンスの作成:ビルドしたイメージを使用して、gn8v-tee コンフィデンシャルコンピューティングインスタンスを作成します。
リモートアテステーション監査とコンフィデンシャルリソースのアップロード:デプロイヤーは、デプロイツールを使用してインスタンスに対してリモートアテステーションを実行し、正規の TDX ハードウェア上で実行されていることを検証します。検証後、ディスク暗号化キーや DingTalk Bot 認証情報などのコンフィデンシャルリソースが自動的にアップロードされます。
OpenClaw へのアクセス:ユーザーは、Web ブラウザ、デスクトップクライアント、TUI ターミナルを通じて直接 OpenClaw にアクセスするか、DingTalk などの IM プラットフォームを通じて間接的にアクセスできます。
リモートアテステーション監査と暗号化転送:接続を確立する前に、トラステッドゲートウェイクライアントは Rekor からソフトウェア参照値を、Intel PCCS と RIM/OCSP からハードウェア参照値を取得します。リモートアテステーション検証が完了した後、RATS-TLS 暗号化チャネルが確立されます。すべての通信はエンドツーエンドで暗号化されます。
前提条件
Alibaba Cloud ECS がアクティベート済みであり、アカウントに gn8v-tee インスタンスを作成する権限があること。
デプロイマシンとして、Alibaba Cloud Linux 3 を実行する ECS インスタンス (汎用またはその他のタイプ) が準備されており、少なくとも 80 GB の空きディスク容量があること。
重要デプロイマシンはデプロイ操作にのみ使用されます。汎用インスタンスで十分です。gn8v-tee インスタンスを使用する必要はありません。後続の手順で、デプロイマシン上でコマンドを実行して gn8v-tee インスタンスを作成します。
Alibaba Cloud AccessKey ペアを取得していること。RAM ロールまたは STS 一時認証情報の使用を推奨します。
DingTalk 統合を使用する必要がある場合は、DingTalk 社内エンタープライズアプリケーションを作成し、必要な認証情報を取得済みであること。
操作手順
ステップ 1:OpenClaw と vLLM 推論エンジンを含むトラステッドイメージのビルド
デプロイマシン (Alibaba Cloud Linux 3 インスタンス) で次のタスクを完了します:ソースコードのダウンロード、依存関係のインストール、キーの生成、クラウドリソースの設定、トラステッドイメージのビルド。
ECS インスタンスにログインします。
ECS コンソール - インスタンスに移動し、上部ナビゲーションバーで対象のリージョンとリソースグループを選択します。
対象インスタンスの詳細ページに移動し、[Connect] をクリックして、[Workbench] を選択します。 接続方法を [Terminal] に設定し、ユーザー名とパスワードを入力して、グラフィカルターミナルページにログインします。
プロジェクトのソースコードをダウンロードします。
cd ~/ git clone https://github.com/inclavare-containers/confidential-agent cd confidential-agent必要なすべてのソフトウェア依存関係をインストールします。
make install-depsこのコマンドは、Docker、Terraform、Go、Python、cosign、rekor-cli など、ビルドとデプロイに必要なツールを自動的にインストールします。
デプロイに必要な暗号化キーと設定ファイルを生成します。
make generate-secretsキーが生成されたら、
secrets/openclaw-vllm.jsonを編集し、プレースホルダーを DingTalk アプリケーションの認証情報やモデル設定などの実際の値に置き換えます。 次の表で、プレースホルダーについて説明します。プレースホルダー
説明
取得方法
<DINGTALK_BOT_CLIENT_ID>DingTalk Bot ClientId
詳細については、「DingTalk Bot + OpenClaw」をご参照ください。DingTalk 開発者ポータル でアプリケーションを作成して値を取得します。
<DINGTALK_BOT_CLIENT_SECRET>DingTalk Bot ClientSecret
上記と同様です。アプリケーションの詳細ページから値を取得します。
Terraform 変数ファイルを設定します。
説明Terraform は、オープンソースのコードとしてのインフラストラクチャ (IaC) ツールであり、宣言型設定ファイルを記述することで、Alibaba Cloud 上のさまざまなクラウドリソースとサービスの作成、変更、バージョン管理を自動化できます。このソリューションでは、Terraform を使用してコンフィデンシャルインスタンスのデプロイを自動化します。
cp terraform/terraform.tfvars.example terraform/terraform.tfvarsterraform/terraform.tfvarsファイルを編集し、次の表に従ってキーパラメーターを設定します。パラメーター
推奨値
説明
zone_id"cn-beijing-l"gn8v-tee インスタンスファミリーをサポートするゾーン
vpc_cidr"10.0.0.0/16"VPC CIDR ブロック
vswitch_cidr"10.0.1.0/24"vSwitch CIDR ブロック
security_group_allowed_cidrOpenClaw サービスにアクセスする必要があるクライアント環境の IP CIDR ブロック
セキュリティグループで許可されるソース IP 範囲
重要security_group_allowed_cidrのデフォルト値は0.0.0.0/0です。本番環境では、この値を特定の IP CIDR ブロックに変更し、必要な送信元 IP アドレスのみを許可する必要があります。Terraform がクラウドリソースを作成できるように、Alibaba Cloud アクセス認証情報をエクスポートします。
export ALICLOUD_ACCESS_KEY="<YOUR_ACCESS_KEY>" export ALICLOUD_SECRET_KEY="<YOUR_SECRET_KEY>"説明AccessKey ペアの長期保存を避けるため、RAM ロールまたは一時認証情報 (STS) の使用を推奨します。AccessKey ペアの作成方法については、「AccessKey ペアの作成」をご参照ください。
OpenClaw と vLLM 推論エンジンを含むトラステッドイメージをビルドします。
make build PROFILE=openclaw-vllm説明初回ビルドには GPU ドライバーのインストールなどの手順が含まれるため、完了までに時間がかかる場合があります。
ビルドが完了すると、次の 2 つのイメージが生成されます:
イメージタイプ
説明
本番イメージ
SSH サーバーが削除され、最小限のランタイムのみが保持されたセキュリティ強化版。本番デプロイ用
デバッグイメージ
SSH アクセスとデバッグツールを保持。トラブルシューティング専用
ビルドプロセス中に、イメージ参照値も Rekor 透明性ログにアップロードされます。デプロイ時の検証用に、
.rekor-meta.jsonメタデータファイルが生成されます。
ステップ 2:トラステッドイメージのインスタンスへのデプロイ
トラステッドイメージを gn8v-tee インスタンスにデプロイし、TNG を通じてエンドツーエンドの暗号化チャネルを確立します。
デプロイマシンで次のコマンドを実行して、トラステッドイメージを使用して gn8v-tee インスタンスを作成します。インスタンスが作成された後、インスタンスに対してリモートアテステーションが実行され、コンフィデンシャルリソースがアップロードされます。
make deploy PROFILE=openclaw-vllm RV_MODE=rekor次の表に主要なパラメーターを示します:
パラメーター
説明
PROFILE=openclaw-vllmデプロイプロファイルを指定します
RV_MODE=rekorデプロイ時に Rekor 透明性ログを通じてイメージ参照値の完全性を検証します
デプロイプロセスでは、クラウドに次のリソースが作成されます:
OSS バケット:トラステッド VM イメージ (
.qcow2) をアップロードおよびホストするために使用されるプライベートなストレージ領域。ECS カスタムイメージ:OSS イメージファイルから Alibaba Cloud ECS カスタムイメージライブラリにインポートされます。
ECS GPU コンフィデンシャルコンピューティングインスタンス:セキュリティグループと vSwitch にアタッチされた ecs.gn8v-tee.4xlarge コンフィデンシャルコンピューティングインスタンス。UKI ブートパラメーターにはリモートアテステーションチャレンジ設定が含まれます。
セキュリティグループ:SSH (ポート 22) と TNG (ポート 18789) を開き、指定された CIDR ブロックからのアクセスのみを許可します。
説明デフォルトでは、デバッグイメージがデプロイされます。本番イメージ (SSH アクセスなし) をデプロイするには、イメージファイルを手動で指定する必要があります。
重要デプロイ中、イメージが OSS にアップロードされ、モデルが ModelScope からダウンロードされるため、インターネットアクセスが必要であり、トラフィック料金が発生します。
デプロイマシンで TNG クライアントを起動して、デプロイマシンとクラウドベースの gn8v-tee インスタンス間に RATS-TLS 暗号化チャネルを確立します。
make connect-tng接続が成功すると、出力に HTTP および WebSocket URL と、OpenClaw にアクセスするために必要なアクセストークンが含まれます。以降のすべての通信は RATS-TLS 暗号化によって保護されます。
TNG トンネルを通じて OpenClaw サービスの準備が完了したかを確認します。
curl -s http://localhost:18789/health正常なステータスが返されたら、サービスにアクセスできるようになります。
ステップ 3:コンフィデンシャルコンピューティングで保護された OpenClaw サービスへのアクセス
サービスの準備ができたら、次の 4 つの方法で OpenClaw サービスにアクセスできます:
方法 1:DingTalk チャットによるアクセス
DingTalk で設定した Bot を見つけて、メッセージを送信して OpenClaw との会話を開始します。

方法 2:ブラウザベースの Web UI によるアクセス
準備:ローカルマシンからデプロイマシンへのポートフォワーディングの確立
ステップ 2 の make connect-tng コマンドは、デプロイマシンで実行され、TNG トンネルをデプロイマシンの localhost:18789 にバインドします。ローカルマシンからデプロイマシンへの SSH ポートフォワーディングを設定する必要があります:
ssh -L 18789:127.0.0.1:18789 root@<デプロイマシンのIP>ポートフォワーディングが確立されると、ローカルマシンのブラウザーまたはクライアントからの localhost:18789 へのアクセスは、デプロイマシンの TNG トンネルへのアクセスと同等です。
ブラウザによるアクセス
ローカルマシンで SSH ポートフォワーディングを設定した後、ブラウザで http://localhost:18789/openclaw にアクセスして Web コントロールパネルを開きます。ステップ 2 で取得した OpenClaw トークンを入力して、サービスにアクセスします。

方法 3:OpenClaw デスクトップクライアントによるアクセス
準備:ローカルマシンからデプロイマシンへのポートフォワーディングの確立
ステップ 2 の make connect-tng コマンドは、デプロイマシンで実行され、TNG トンネルをデプロイマシンの localhost:18789 にバインドします。ローカルマシンからデプロイマシンへの SSH ポートフォワーディングを設定する必要があります:
ssh -L 18789:127.0.0.1:18789 root@<デプロイマシンのIP>ポートフォワーディングが確立されると、ローカルマシンのブラウザーまたはクライアントからの localhost:18789 へのアクセスは、デプロイマシンの TNG トンネルへのアクセスと同等です。
デスクトップクライアントによるアクセス
ローカルマシンに OpenClaw デスクトップクライアントをインストールし、リモートモードを設定し、接続アドレスを ws://localhost:18789 に設定し、ステップ 2 で取得した OpenClaw トークンを入力します。
方法 4:OpenClaw TUI によるアクセス
デプロイマシンにクライアントとして OpenClaw をインストールします。
npm install -g openclaw@latest --registry=https://registry.npmmirror.com次に、デプロイマシンで次のコマンドを実行して OpenClaw TUI を起動し、リモート OpenClaw インスタンスに接続します。
openclaw tui --url ws://localhost:18789 --token <gateway-token><gateway-token> をステップ 2 で取得した OpenClaw ゲートウェイトークンに置き換えます。
TUI で初めて接続すると、pairing required というメッセージが表示されます。ブラウザーで http://localhost:18789/openclaw にアクセスし、[ノード] ページで承認待ちのデバイスを見つけ、[承認] をクリックして承認を完了します。その後、TUI に戻ります。
承認が完了すると、TUI で会話の準備が整います。

ステップ 4 (オプション):リソースの解放
サービスが不要になったら、次のコマンドを実行してすべてのクラウドリソースを解放します:
make destroy PROFILE=openclaw-vllmこの操作は元に戻すことができず、ECS インスタンスと関連するネットワークリソースが削除されます。このコマンドを実行する前に、インスタンス上のデータが不要であることを確認してください。
セキュリティ検証
ランタイム環境の信頼性の検証
OpenClaw には、セキュリティ関連の質問が行われるとリモートアテステーションを自動的にトリガーし、現在のランタイム環境のセキュリティステータスを検証する、組み込みの tdx-remote-attestation スキルがあります。
トリガー方法:DingTalk、Web、TUI でセキュリティ関連の質問 (「私のデータは安全ですか?」や「この環境は信頼できますか?」など) をしてください。
返される内容:
検証項目 | 説明 |
ハードウェア信頼ステータス | ハードウェア値が 32 以下の場合、検証に合格したことを示します |
TEE タイプ | Intel TDX トラストドメイン |
メモリ暗号化保護 | Memory Encryption Engine が有効になっていることを確認します |
UKI ブートチェーンの完全性 | コンポーネント測定値の一貫性を検証します |

PEP ポリシー適用の検証
PEP (ポリシー強制ポイント) は、機密 AI エージェント向けに設計されたランタイムゲーティングメカニズムです。OpenClaw などのエージェントが exec ツールを介してコマンドを実行すると、リクエストはまずポリシーマッチングのために cai-pep を通過し、その後、分離された Docker サンドボックス (ネットワークモード none) で実行されます。設定可能なポリシーは、エージェントが利用できるツールに必須の制限を適用することで、悪意のあるプロンプトインジェクションに起因するセキュリティリスクを防ぎます。
PEP は 3 つの層の保護を提供します。
コマンドレベルのブロッキング: ブロックリストに基づいて、
curl、wget、nc、ssh、dockerなどのリスクの高いコマンドを拒否します。パスレベルブロッキング:
/etc、/proc、/root、/home/openclaw/.openclawのような機密性の高いパスへのアクセスを防止します。ネットワーク分離:サンドボックスにはネットワークアクセスがありません。コマンドがブロックリストをバイパスしても、アウトバウンド接続を確立できません。
デフォルトのポリシーファイルは、デプロイマシン上の ~/confidential-agent/image/customize/files/cai-pep-default-policy.json にあります。イメージをビルドする前に、コマンドブロックリスト、パスブロックリスト、およびリソース制限を変更できます。
エージェントが悪意のあるプロンプトインジェクションによって侵害され、攻撃者がリバースシェルを確立したり、悪意のあるペイロードをダウンロードしようとしたりする場合、PEP はこれらの高リスク操作を自動的にブロックします。
攻撃方法 | コマンド例 | ブロックの理由 |
リバースシェル |
|
|
悪意のあるペイロードのダウンロード |
|
|
機密ファイルの読み取り |
|
|
サプライチェーンの完全性の検証
デプロイプロセスでは、デフォルトで Rekor 透明性ログを使用してイメージ参照値を保存します。リモートアテステーション中、参照値は Rekor から自動的に取得されて検証されます。次の方法を使用して Rekor ログエントリを監査し、サプライチェーンの完全性を検証できます。
Rekor レコードの表示
ビルドが完了したら、デプロイマシンでレコードのログインデックスとエントリ URL を確認できます。
cat ~/confidential-agent/image/output/slsa-output-cai-openclaw-vllm-debug-*/rekor-v1-upload.txt出力例:
Created entry at index 1205944956, available at: https://rekor.sigstore.dev/api/v1/log/entries/<uuid>インクルージョンプルーフの検証
インクルージョンプルーフは、イメージ参照値を含むエントリが Rekor ログの Merkle Root に存在することを確認します。
rekor-cli verify --log-index 1205944956 --rekor_server https://rekor.sigstore.dev出力に 2 つの同一のハッシュ値が含まれている場合、検証は成功です。
Computed Root Hash: 1291abcee27148a4c00241ba8719f798ce060e8a5ccc8b18249017c25c6d0090
Expected Root Hash: 1291abcee27148a4c00241ba8719f798ce060e8a5ccc8b18249017c25c6d0090コンシステンシープルーフの検証
コンシステンシープルーフは、古い Merkle Root (Root A) が新しい Merkle Root (Root B) のプレフィックスまたは履歴状態であることを確認し、Rekor に保存された参照値エントリが改ざんまたは削除されていないことを保証します。
rekor-cli loginfo --rekor_server https://rekor.sigstore.dev出力に次の内容が含まれている場合、検証は成功です。
Verification Successful!セキュリティグループの設定
make deploy プロセス中に、セキュリティグループルールが自動的に作成されます。後でセキュリティグループを変更する必要がある場合は、セキュリティグループに以下のルールが含まれていることを確認してください。
ポート | プロトコル | 説明 | セキュリティ推奨事項 |
22 | TCP | SSH リモート管理 (デバッグイメージのみ) | ソース IP を管理ネットワークに制限します |
18789 | TCP | TNG トンネルエンドポイント (RATS-TLS)。OpenClaw サービスへのアクセスに使用されます | ソース IP を制限するか、TNG を通じてアクセスします |
重要: 本番環境では、必ずsecurity_group_allowed_cidrを特定の管理 IP CIDR ブロックに変更し、0.0.0.0/0を使用しないでください。
よくある質問
make buildが依存関係不足エラーで失敗する場合すべての依存関係がインストールされていることを確認し、ディスク容量が十分かどうかを確認します。
make install-deps df -h /これで問題が解決しない場合は、
make clean-imageを実行してビルドアクティファクトをクリーンアップし、再試行してください。make deployがNoSetRoletoECSServiceAccountで失敗する場合このエラーは、ECS イメージインポートロールが承認されていないことを示しています。次のいずれかの操作を実行してください:
Alibaba Cloud コンソールにログオンし、[ECS] > [イメージ] > [イメージのインポート] に移動して [承認] をクリックし、
AliyunECSImageImportDefaultRoleロールを作成します。RAM コンソールで、
AliyunOSSFullAccessポリシーをAliyunECSImageImportDefaultRoleロールに付与します。
サービスが応答しない場合
デバッグイメージがデプロイされていることを確認します (本番イメージには SSH が含まれていません)。
再デプロイし、
make deployが正常に完了することを確認してください。デバッグイメージをデプロイし、SSH 経由で接続してログを確認し、トラブルシューティングを行います。
ローカル TNG 検証が失敗する場合
ローカル Trustee コンテナが実行中で正常であることを確認します:
# ローカル Trustee コンテナが実行中であることを確認する docker ps | grep cai-local-trustee # Trustee のヘルスステータスを確認する curl http://127.0.0.1:18081/api/health # Trustee の準備ができていない場合は、再実行する make connect-tngcai-pep がすべてのツール呼び出しを拒否する場合
デバッグイメージをデプロイし、SSH 経由で接続して cai-pep ログを確認し、ブロックの具体的な理由を確認します。