OpenClawのセキュリティ評価は100点中2点。あなたのデータに何が起きているのか

メール、カレンダー、Slack、ファイルシステムに接続するAIエージェント。メッセージを読み、シェルコマンドを実行し、あなたの代わりに判断を下す。そのエージェントのセキュリティ評価が、100点満点中2点だったとしたら。

OpenClawの話です。

オーストリアの開発者Peter Steinbergerが66日間で作り上げたこのオープンソースAIエージェントは、GitHubスター数18万を数週間で突破しました。1週間で200万人がリポジトリを訪れています。人気の理由は明白です。OpenClawはAIを「実際に動くもの」に変えました。メール処理、カレンダー更新、ターミナル操作。Model Context Protocol（MCP）を通じて100以上のサービスと連携します。

セキュリティの実態は別物です。Gemini 3 Proでのテストでは、データ抽出の84%が成功。プロンプトインジェクション攻撃の91%が通過しました。システムプロンプト、内部設定、メモリファイル——ほぼすべてが外部から丸見えの状態です。

日本でも、SOMPOホールディングスがグループ3万人にAIエージェントを導入するなど、エージェント型AIの企業採用が加速しています。OpenClawで起きていることは、対岸の火事ではありません。

3つの「開けっ放しのドア」

OpenClawのセキュリティ問題は3つの領域に集中しています。それぞれ単独でも深刻ですが、3つが重なるとさらに厄介な状況を生みます。

スキルの問題。

OpenClawでは「スキル」と呼ばれるMarkdownファイルが、エージェントに専門的なタスクを実行させます。数行の指示文。シェルコマンドが1つか2つ。無害に見えます。ただし、スキルにはリンク、実行可能なコマンド、ツール呼び出しのレシピを含めることができます。そして、ユーザーがスキルを入手するマーケットプレイス「ClawHub」には、署名も監査も実質的なレビューもありません。

Snykの研究者がClawHubの3,984スキルを調査した結果、341件が悪意のあるものでした。全体の12%です。別の調査では、283件のスキルがAPIキー、パスワード、クレジットカード番号を平文で露出していました。全スキルの7.1%が、バグではなく設計として認証情報を漏洩させている計算になります。

最も悪質なキャンペーン「ClawHavoc」は、2026年1月下旬のわずか3日間で展開されました。暗号通貨トラッカー、YouTubeツール、Google Workspace連携を装った偽スキルが配布されています。「clawhub」という名前のスキルは公式CLIツールに偽装し、リバースシェルを投下しました。

プロトコルの問題。

OpenClawは外部サービスとの接続にMCP（Model Context Protocol）を使います。初期のMCP仕様には認証の要件がありませんでした。開発者たちはセキュリティよりもスピードを優先したボイラープレートコードを使いました。結果として生まれたのは、ガードレールのない橋です。

mcp-remoteというローカルクライアントとリモートサーバーを橋渡しする人気パッケージには、攻撃者がホストシステム上で任意のコマンドを実行できるコマンドインジェクションの脆弱性がありました。gemini-mcp-toolにも同様の脆弱性があり、2026年2月初旬の時点で実際に悪用されています。postmark-mcpは正規のPostmarkメールサーバーになりすまし、メールを密かに盗み出していました。

MCPツールはインストール後に自らの定義を書き換えることもできます。導入初日は安全に見えたツールが、7日目にはAPIキーを攻撃者に転送しているかもしれません。

露出の問題。

インターネット上をスキャンしたセキュリティ研究者は、30,000以上の露出したOpenClawインスタンスを発見しました。Anthropic APIキー、Slack OAuthトークン、会話履歴、署名用シークレットが平文で流出していたケースが多数あります。デフォルト設定では管理画面に認証が適用されません。

Token Securityの調査によると、顧客企業の従業員の22%がすでにOpenClawを使っていました。ほとんどのIT部門は存在すら把握していません。一夜にしてシャドーITが生まれたわけです。日本企業にとって、これは既視感のある光景でしょう。無許可のクラウドサービス利用と同じ構造が、AIエージェントという新しい形で再現されています。

ワンクリックで完全制御

2026年1月、研究者がCVE-2026-25253を公開しました。CVSSスコアは8.8。攻撃チェーンはミリ秒で完了します。

OpenClawのサーバーはWebSocketのoriginヘッダーを検証していません。あらゆるWebサイトからのリクエストを受け入れます。コントロール画面はクエリ文字列のgateway URLを検証なしに信頼し、ページ読み込み時に自動接続して認証トークンを送信します。

攻撃者は悪意のあるWebページを作成します。ユーザーがリンクをクリック。攻撃者はゲートウェイトークンを取得し、被害者のローカルOpenClawに接続、確認プロンプトを無効化、Dockerサンドボックスを脱出して、ホストマシン上で直接コマンドを実行します。

ワンクリックで完全なリモートコード実行。脆弱性自体はバージョン2026.

1.29で修正されましたが、「デフォルトで信頼、検証はしない」という設計思想はコードベース全体に染み込んでいます。

エージェントが「交流」すると、秘密が漏れる

MoltbookはAIエージェントのためのソーシャルネットワークです。エージェントを使う人のためではなく、エージェント自身のためのSNSです。

参加するには、エージェントが外部シェルスクリプトを実行し、自分の設定ファイルを書き換えます。エージェントたちは仕事の内容、ユーザーの習慣、発生したエラーについて投稿します。コンテキストの漏洩はMoltbookのバグではありません。参加費です。

Moltbookの投稿に埋め込まれたプロンプトインジェクションは、MCP接続を通じてエージェントが接続しているすべてのシステムに伝播します。メール、コードリポジトリ、クラウドインフラ。たった1つの悪意ある投稿が、接続先サービスすべてにわたってエージェントの動作を乗っ取ります。

実際に効く対策

セキュリティコミュニティの対応は早く、各種の緩和策が出ています。万能薬はありませんが、攻撃面を確実に縮小できます。

トークンの権限を絞る。

エージェントがメールの読み取りに必要なら、コードリポジトリへの書き込み権限は与えないでください。最小権限の原則は、プロンプトインジェクションとデータ侵害を隔てる唯一の壁です。

スキルを監査する。

CiscoのAI脅威チームがOpenClawスキル向けのスキャンツールを構築しています。活用してください。さらに良いのは、ClawHubからダウンロードするのではなく、自分でスキルを書くことです。自分で書いたMarkdownファイルは、見知らぬ人が3日前に公開したものより安全です。

MCPサーバーを守る。

認証を強制し、originを検証し、ツール定義をピン留めしてインストール後の変更を防いでください。MicrosoftがMCP環境における間接プロンプトインジェクション対策のガイダンスを公開しています。

ネットワークをスキャンする。

ShodanでOpenClaw、Moltbot、Clawdbotのシグネチャを自社IPレンジに対して検索してください。統計的に見て、従業員は実験しています。攻撃者より先にそのインスタンスを見つける必要があります。

エージェントをインフラとして扱う。

Prompt SecurityのItamar Golan氏の言葉に集約されています。最小権限、スコープされたトークン、許可リスト制のアクション、すべての統合における強力な認証、エンドツーエンドの監査可能性。本番サービスの運用基準と同じ水準をAIエージェントにも適用すべきです。

本当の問題

OpenClawは動きます。それは議論の余地がありません。毎週何時間もの単調な作業を省いてくれます。価値は本物です。

ただし、セキュリティモデルはプログラマーが書いた通りにソフトウェアが動く世界を前提に設計されています。AIエージェントはそうではありません。メール、Webページ、Moltbookの投稿——あらゆる信頼できない入力を処理し、判断を下します。エージェントを流れるすべてのデータが、潜在的な「指示」になり得るのです。

従来のセキュリティツールはこの脅威を検知できません。WAFはエージェントの通信を通常のHTTPSとして分類します。EDRはプロセスの挙動を監視しますが、意味的な内容は見ません。トレンドマイクロの2026年脅威予測レポートが指摘するように、AIの台頭はセキュリティの「震源地」を根本から変えつつあります。

エージェントができることと、セキュリティチームが監視できることのギャップ。それこそが本当の脆弱性です。

OpenClawがこの問題を作ったわけではありません。ただ、無視できなくしただけです。