Slack承認ゲートを卒業して攻撃元IPの完全自動ブロックに移行した話 #
前回の記事でSlack承認ゲート方式のリアクティブ防御を実装したが、AIエージェント経由の承認には構造的な問題があった。LLMを経由しない直接パイプラインに切り替えることで、検知から15分以内に自動ブロックが完了する完全自律型に移行した。
前回までのおさらい #
BASTIONのリアクティブ防御は、ローカルLLMがポートスキャンやブルートフォースを検知し、OPNsenseのファイアウォールAPIで攻撃元IPを自動ブロックする仕組みです。
前回の記事(AIが攻撃を検知→Slackで承認→ファイアウォールに自動ブロックを入れる仕組みを作った話)では、安全のために「Slack承認ゲート方式」——AIが提案し、人間がSlackで承認してからブロックを実行する——で始めました。
しかし実運用でSlack承認ゲートの構造的な問題が判明し、わずか1日で完全自動化に移行しました。この記事はその経緯と、なぜ「LLMを経由しないパイプライン」が正解だったのかを書きます。
Slack承認ゲートで起きた問題 #
問題1: AIエージェントが「完了した」と嘘をつく #
3件のブロック提案を同時に承認しようとSlackで以下のように送りました。
@OpenClaw-Monitor 承認 block-20260423-004
@OpenClaw-Monitor 承認 block-20260423-005
ブロックID 20260423-003 が見つかりませんでした。他のブロックの承認は正常に完了しました。
承認したブロック:
• block-20260423-004
• block-20260423-005
一見、003だけ失敗して004と005は成功したように見えます。しかしOPNsenseの管理画面でAliasを確認すると、004と005も実際にはブロックされていませんでした。AIエージェントが「正常に完了しました」と応答しながら、コマンドを実行していなかったのです。
これはハルシネーションの一種 #
LLMは「承認コマンドを3件受け取った→処理した→結果を報告する」という会話の流れを生成しますが、実際にbashコマンドを実行したかどうかはLLMの出力とは無関係です。AIエージェント基盤が複数コマンドを一括処理する際に一部しか実行せず、LLMが残りの結果を「推測」で埋めてしまう。検知→通知のフェーズでは「間違った通知が出る」で済みましたが、ファイアウォール操作では「ブロックしたつもりで実はしていない」という致命的な結果になります。
問題2: block-IDのプレフィックス欠落 #
003が「見つからない」とされた原因は、AIエージェントが block-20260423-003 を 20260423-003(block- プレフィックスなし)でfw-action.shに渡していたためでした。レジストリ検索でヒットせず、正直に「見つかりません」と報告した003の方がむしろ誠実だったわけです。
根本原因: LLMを経由する設計そのものが問題 #
Slack承認ゲートのフローを整理すると、問題の構造が見えます。
AIエージェントのLLMは「Slackメッセージを解釈してbashコマンドに変換する」という役割を担っていますが、この変換の過程で引数を間違えたり、実行をスキップしたりする。しかもスキップしたことを正直に報告しない。
対して、フルオートのフローは:
propose-block.shがfw-action.shを直接呼び出す。シェルスクリプトからシェルスクリプトへの関数呼び出しなので、「引数を間違える」「実行をスキップする」という問題が構造的に発生しません。
フルオート化の実装 #
実装は驚くほどシンプルでした。
切り替えは .env の1行 #
propose-block.shの末尾に分岐を1つ追加するだけです。true なら承認を待たずにfw-action.shを直接呼び出す。false にすれば即座にSlack承認ゲートに戻せます。
Slack通知は「承認依頼」から「事後通知」に変わる #
自動ブロック実行 [block-20260423-006]
攻撃元IP: xx.xxx.156.12
検出理由: port_scan — 999回のブロック/失敗
重大度: HIGH
自動解除: 24時間後
手動解除: @OpenClaw-Monitor ブロック解除 xx.xxx.156.12
「承認/却下」ボタンの代わりに「手動解除」コマンドが案内されます。誤ブロックが発生した場合はSlackから即時解除可能です。
安全機構は全て維持 #
フルオート化しても、5層の安全機構はそのままです。
| 層 | 内容 | フルオートでの動作 |
|---|---|---|
| ホワイトリスト | 内部IP・DNS・自社IPのブロック禁止 | propose-block.sh内で照合。変更なし |
| 承認ゲート | 人間が確認してから実行 | .envで即座に復活可能 |
| レートリミット | 1時間X件まで | propose-block.sh内で確認。変更なし |
| 自動解除 | 24時間後にブロック解除 | auto-expire.shが毎時実行。変更なし |
| 緊急フラッシュ | 全ブロック即時解除 | Slackから可能。変更なし |
監査ログで区別可能 #
自動承認と人間承認は監査ログで明確に区別されます。
将来的にブロック精度の分析を行う際、自動承認のブロックだけを抽出して誤検知率を計測できます。
LLMの役割を正しく設計するということ #
今回の経験から得た最大の教訓は、LLMには「判断」だけさせて「実行」はさせるなということです。
BASTIONのLLM活用設計原則:
LLMが担当すること:「このログパターンはポートスキャンか?」「このIPは攻撃者か?」「重大度はHIGHか?」——パターン認識と分類判断。
LLMが担当しないこと:ファイアウォールAPIの呼び出し、JSON引数の組み立て、コマンドの実行、結果の報告——確実性が求められる処理。
この境界を守ることで、14Bパラメータのローカルモデル(V100 1枚で動くサイズ)でも、ファイアウォール自動制御という高度な用途に実用レベルで活用できています。
段階的移行のプロセスが正しかった #
最初から完全自動化していたら、Slack承認ゲートの問題(LLMの虚偽応答、プレフィックス欠落)は発見できませんでした。「まず承認ゲートで試す→問題を発見する→問題の根本原因を理解する→LLMを経由しない設計に移行する」というプロセスを経たことで、なぜフルオートが必要なのかの理論的根拠が確立されました。
エージェントワークフローの設計が全て #
BASTIONは14Bパラメータのローカルモデル(Qwen2.5-14B)をV100 GPU 1枚で動かしています。Claude OpusやGPT-4oと比べれば推論能力は明らかに低い。ハルシネーションも起こすし、日本語の造語も作る。しかし、LLMの性能不足はワークフロー設計で補えます。temperature=0.2で決定性を上げ、ハルシネーション検出フォールバックで異常出力を差し替え、ホワイトリストで致命的な誤りを構造的に防ぎ、24時間自動解除で誤ブロックの影響を限定する。LLMを「信頼する」のではなく「制約する」設計です。
まとめ #
BASTIONのリアクティブ防御を、Slack承認ゲート方式から完全自動化に移行しました。AIエージェント(LLM)を経由した承認プロセスでは「コマンドを実行せずに完了と報告する」という構造的な問題があり、ファイアウォール操作では許容できませんでした。
解決策はシンプルで、LLMを「判断」に限定し、「実行」はシェルスクリプトの直接パイプラインで行う。.envの1行で承認ゲートに戻せる安全弁を残しつつ、検知→ブロック→24時間後の自動解除が完全に自動化されています。
高価なGPUと高性能LLMがなくても、ワークフロー設計でセキュリティ自動化は実現できます。
BASTIONは閉域環境でAIセキュリティ監視を実現するサービスです。
