00:00:00Clawsbot、いや Anthropicに感謝を込めて Maltbot と呼ぶべきでしょうか、ここ数日ネット上で
00:00:05大きな話題になっています。これは実際に「動く」パーソナルAIアシスタントで、
00:00:11受信トレイの確認や会議の予約などを、お気に入りのメッセージアプリから行えます。
00:00:17どのモデルやプランでも動きますが(これ以外は)、いくつか
00:00:22潜在的なセキュリティ上の問題があります。実は初めてセットアップした時、誰かが私のサーバーを総当たり攻撃しようとしました。
00:00:28それでは、チャンネル登録をして本編に入りましょう。
00:00:30もし Claude Maltbot の熱狂をまだ目にしていないなら、あなたは幸運かもしれません。
00:00:36皆、人生を管理させるために Claudebot をインストールしようと、必死になって Mac mini を買いあさっています。
00:00:42すみません、動画の中で Claude と Maltbot を言い間違えるかもしれませんが、意図は伝わりますよね。
00:00:47とにかく、暗号資産の取引やポッドキャストへの参加、さらには
00:00:52SNSの監視など、あらゆることに使われています。Claudebot は Anthropic とは関係なく、
00:00:58それゆえ名前が変更されました。Peter Steinberger 氏によってわずか3ヶ月前に作成されたばかりです。
00:01:04それなのに、GitHub ですでに7万近いスターを獲得しているのは驚きです。マシンに
00:01:10ローカルインストールしている人もいますが、Claudebot はシステムへのフルアクセス権限を持つため、おすすめしません。
00:01:16つまり、何でもできてしまうのです。PDFを読み込む際のプロンプトインジェクション一つで、
00:01:21システム全体がダウンし、機密データが漏洩する恐れがあります。だからこそ、人々はメインマシンから隔離するために
00:01:27Mac mini にインストールしているのです。私は持っていないので、次善の策として
00:01:32安価な VPS 上で、sudo 権限を持つ非ルートユーザーとして動かしています。この
00:01:37コマンドを実行するだけで、1Password や Google カレンダーといったスキルの設定から、
00:01:42使用したいモデルの API キーの追加まで、すべて自動で行われます。Claudebot は多くの LLM をサポートしています。
00:01:48インストールプロセスでは、Discord、WhatsApp、Telegram などの使用チャンネルも設定できます。
00:01:54実は、どういうわけか WhatsApp はあまりうまくいきませんでした。というのも、
00:01:59動作はしたのですが、独り言を言っているように見えたんです。そこで、現時点で唯一の実用的なチャンネルである
00:02:04Telegram を選びました。設定にいくつか手順はありましたが、こちらの方がはるかに快適です。
00:02:09また、モデルにアイデンティティを与えることもできます。
00:02:13これは名刺のような、いわば「魂」です。魂と言うと少し奇妙ですが、そう呼ばれており、
00:02:18実態はエージェントの性格設定です。これに持続的なメモリ機能が加わることで、
00:02:22会話が非常に人間らしく感じられます。ハッキングされたと伝えると、
00:02:28アラームの絵文字で返し、物事がうまくいくと喜んでいるように見えます。
00:02:33メッセージアプリを通じてこのエージェントとやり取りするのは、特別な感覚です。
00:02:39天気を尋ねたり、時間を聞いたり、会議の予約を頼んだりすれば、
00:02:44本物のパーソナルアシスタントのように実行してくれます。寝ることも食べることもなく、24時間365日働いてくれます。
00:02:49いいことずくめに聞こえますが、後述するようにセキュリティ上の問題もあります。
00:02:56まずは、これが実際にどう動いているのかを説明しましょう。
00:03:00Claudebot の主要部分は「ゲートウェイデーモン」で、ここには
00:03:06ダッシュボード、設定用の Web UI、Web ソケットサーバーなどが含まれています。
00:03:11これらは特定のポートで公開され、Web ソケットや HTTP を通じて、さまざまな
00:03:18クライアント(エージェントと話すための TUI や Web サイト)へのアクセスを提供します。
00:03:24次に「ノード」があります。これは Mac、iOS、Android のネイティブアプリに、カメラやキャンバスなどの機能を提供します。
00:03:30そして、皆さんに最も馴染みがあるのが「チャンネル」でしょう。
00:03:36これらは WhatsApp、Telegram、Discord などです。これらは Web ソケットサーバーを介して接続するのではなく、
00:03:42「チャンネルマネージャー」を使用します。これは Telegram なら Grammy、Discord なら Discord.js といった専用ライブラリを使います。
00:03:47さて、ここからは Pye を搭載したエージェントランタイムです。
00:03:53これはエージェントの通信用にインメモリセッションを作成し、ツールスキルやセッションごとのキューを処理する人気のツールです。
00:03:59マルチエージェント通信を処理するルーターもありますが、これがクラウドに接続する部分です。
00:04:05(なぜこれがバスケットボールなのか分かりませんが、地球のつもりでしょう)クラウドエージェント、つまり
00:04:10Anthropic や OpenAI の LLM を使っている場合、これらがインターフェースとなります。
00:04:15Ollama のようなローカルモデルの場合も同様です。ゲートウェイデーモンはフックなども処理しますが、
00:04:21今はエージェント間のセッションを管理する「セッションマネージャー」に注目しましょう。
00:04:25また、ストレージと状態の管理も行います。VPS などを使っている場合にハッカーから守るべきはここです。
00:04:30ここには Claudebot の設定が保存されているからです。
00:04:36Anthropic や OpenAI の認証トークン、そしてエージェントとの
00:04:42セッションのやり取り(書き起こし)も含まれます。通常は .claudbot ディレクトリに保存されます。
00:04:47想像の通り、VPS で Claudebot を動かすと問題が生じます。IP アドレスが公開されているため、
00:04:52ゲートウェイを露出させると、誰でもボットにアクセスしたり、侵入を試みたりできてしまいます。これが私の身に起きたことです。
00:04:58基本的にはゲートウェイをローカルで動かせば問題の多くは解決しますが、
00:05:04Tailscale などを導入してネットワークをより安全にすることもできます。私は二度目にそうしました。
00:05:09お見せしましょう。サーバーとアクセス元のマシンにインストールすると、
00:05:13Tailscale が制限をかけ、この2台の間だけで通信できるようにし、外部からはアクセス不能にします。
00:05:18さらに SSH を有効にすれば、自分のネットワーク内のマシンのみが Claudebot サーバーに SSH 接続できるように設定できます。
00:05:24これによりパブリックな SSH アクセスを無効化できます。Claudebot ダッシュボードへのアクセスには、
00:05:29SSH トンネリングを使用するか、Tailscale のアドレスや Tailscale serve を使って、自分のネットワーク内だけに公開できます。
00:05:35Claudebot を使って Tailscale 自体のダッシュボードや Web ソケット部分を構成することも可能ですが、
00:05:41もちろん手動でのサインアップとマシンの接続は必要です。また、
00:05:47Claudebot 専用の API キーを作成することを推奨します。そうすれば、もし漏洩してもそのキーを削除して作り直せば済みます。
00:05:52また、チャットに機密データを入力した場合は、万が一の事態に備えて、それらを消去しておくのが賢明です。
00:05:57最後に、Claudebot CLI には、問題を自動的に修正するためのセキュリティコマンドが備わっています。
00:06:03しかし、こうした対策をしても、最大の懸念はプロンプトインジェクションです。
00:06:08エージェントはネットの閲覧、ダウンロード、検索ができるからです。ファイルやメールの中に
00:06:13悪意のあるプロンプトを仕込まれると、システムへのフルアクセスを持つエージェントがそれを実行してしまいます。
00:06:18あるケースでは、プルリクエストの URL にエンコードされた命令を隠し、
00:06:24Claudebot にマルウェアをダウンロードさせた例があります。これを見抜くのは非常に困難です。
00:06:31YouTuber の Low Level 氏が紹介していた例では、友人が Claudebot を導入したところ、
00:06:37妻からの「Spotify で EDM を流して」というメールを読み、エージェントが Spotify への
00:06:42アクセス権を持っていたため、そのまま実行してしまったそうです。恐ろしい話ですが、こうした事例は次々と出てきています。
00:06:48モデルの検知能力も向上していくでしょうが、ハッカーというのは常に抜け道を見つけ出すものです。
00:06:54全体として、Claudebot は非常に印象的なツールだと思います。あ、Maltbot という名前はやっぱりしっくりきませんね。
00:07:00権限を与えられた最新モデルが何を実現できるのかを世に示す、素晴らしい方法だと思いますが、
00:07:05個人的には、まだモデルに個人情報を委ねるのには抵抗があります。将来的に変わるかもしれませんが、今は少し不安です。
00:07:10ですが、希望はあります。大手企業が、ユーザーが航空券や会議の予約、
00:07:14生活の管理のためにシステムや個人情報へのフルアクセスを望んでいると知れば、
00:07:20LLM のパーソナルアシスタント機能(Co-work などのような)に、より力を入れ、
00:07:26より優れた、かつセキュリティ問題を克服したものを開発してくれるはずだからです。
00:07:32セキュリティの話ついでに、AI アプリを開発しているなら Better Stack をぜひチェックしてみてください。
00:07:37これは異常検知を使ってサーバーの不審な動きを察知したり、AI ネイティブなエラー追跡で
00:07:44フロントエンドのエラーを特定したり、高度な稼働監視システムで、サイトやプロジェクトのダウンを即座に知らせてくれます。
00:07:50ぜひ今日から Better Stack を試してみてください!
00:07:56like co-work but make them much better and also find ways to get around these security issues.
00:08:01Speaking of security issues, if you're building apps for AI then you should definitely check out
00:08:07Betastack which is a tool that can use anomaly detection to pick up on weird things happening
00:08:12to your servers, can use AI native error tracking to spot errors on your front end and can let you
00:08:18know as soon as your site or project goes down through its amazing uptime monitoring system.
00:08:23So go ahead and check out Better Stack today!