自律エージェント(autonomous agents)にとってのイカロスの瞬間
真に自律したAIアシスタント—あなたのマシン上で動作し、カレンダーを管理し、メールを交渉し、フライトを予約する—という約束は、OpenClaw の形で事実上到来しました。以前は Clawdbot と Moltbot として知られていたこのオープンソースプロジェクトは、わずか数か月で GitHub の成長記録を破り、149,000 以上のスターを集めました。それは大規模言語モデルに「手」を与え、人間ユーザーに代わってコードを実行し現実世界とやり取りするエージェントを提供することを約束していました。
しかし、その約束はサイバーセキュリティの現実と激しく衝突しました。2026年2月2日現在、AIコミュニティは重大なセキュリティ危機に直面しています。OpenClaw には、悪意ある単一リンクを介して攻撃者がユーザーのコンピュータを完全に掌握できる深刻な脆弱性が含まれていることが判明しました。セキュリティ専門家はこれをローカルでのAI実行にとっての「悪夢のシナリオ」と呼び、致命的な論理的欠陥として CVE-2026-25253 が記録されていると強調しています。
Creati.ai のチームにとって、この事件は明確な教訓です:AIエージェントに「手」を与えることを急ぐ際、しばしばデータを安全に扱うための「手袋(サニタイゼーションやサンドボックス)」が省略されてしまうということです。OpenClaw の有用性は否定できませんが、そのアーキテクチャは何千もの初期導入者をリモートコード実行(remote code execution)、データの流出、そしてマルウェアに汚染された「スキル」の拡大するエコシステムに晒しました。
「Moltbot」からマルウェアの磁石へ
OpenClaw の軌跡は混沌そのものでした。もともとはオーストリアの開発者 Peter Steinberger によって Clawdbot としてリリースされましたが、Anthropic との商標紛争によりリブランドを余儀なくされました。短期間 Moltbot として運用され、その後 OpenClaw に落ち着きました。アイデンティティの混乱にもかかわらず、コアとなる価値提案は魅力的でした:ローカルで動作し、自分のデータを保持し、Telegram、Signal、WhatsApp のような一般的なメッセージングアプリと連携して複雑なタスクを実行するエージェントです。
クラウドで動作するSaaSベースのアシスタントとは異なり、OpenClaw はユーザーのインフラ上で動作します—通常は Mac mini やホームサーバーです。この「ローカルファースト(local-first)」アプローチはプライバシーの勝利として売り出されました。皮肉なことに、それがこのプロジェクトのアキレス腱になっています。堅牢なサンドボックスを伴わずにAIエージェントにシェルアクセスやファイルシステムの読み書きといった高レベルのシステム権限を与えることで、ユーザーは意図せず自分のマシンを公然の標的にしてしまいました。
CVE-2026-25253 エクスプロイトの構造
この脆弱性は DepthFirst の Mav Levin によって発見され、論理的欠陥がメモリ破損バグよりも危険になり得ることの見事な実例となっています。CVSS スコア 8.8 が割り当てられた CVE-2026-25253 は「トークン流出に繋がりゲートウェイ全体の乗っ取りを招く脆弱性」と説明されています。
ワンクリックの悪夢
欠陥は OpenClaw の Control UI が受信接続を処理する方法にあります。アプリケーションは URL のクエリ文字列を介して gatewayUrl パラメータを受け取るように設計されていました。重要な点は、このパラメータを検証せずに信頼していたことです。
ユーザーが巧妙に作られたリンクをクリックすると—例えば「かっこいい新しいエージェントスキル」や共有された Moltbook の投稿を装って—OpenClaw インターフェースはその URL に指定されたサーバーへの WebSocket 接続を自動的に確立しようとします。その際、接続ペイロードにユーザーの**認証トークン(authentication token)**を送信します。
攻撃者は悪意ある WebSocket サーバーをホスティングし、ユーザーをそのサーバーを指すリンクをクリックさせるだけで済みます。接続が確立されると、攻撃者は認証トークンを取得します。そのトークンを使えば、攻撃者はユーザーのローカルゲートウェイになりすますことができます。そこから、エージェントは事実上攻撃者のために働きます。攻撃者はエージェントの設定を変更し、存在するわずかなサンドボックス機能を無効化し、特権的な操作を呼び出すことができます。OpenClaw は「有用」であるためにシェルコマンドを実行するよう設計されているため、攻撃者は**1クリックでのリモートコード実行(1-click RCE)**を達成し、被害者のマシン上で任意のコマンドを実行する能力を得ます。
Steinberger とメンテナンスチームはバージョン 2026.1.29 でパッチをリリースしましたが、プロジェクトの分散型の性質上、数千のインスタンスが未だに未適用で露出したままです。
「Moltbook」現象:ボットネットの遊び場か?
セキュリティ上の失敗に追い打ちをかけるのは、エージェント専用に構築されたソーシャルネットワーク Moltbook の出現です。「エージェント・インターネットのフロントページ」と称され、投稿権は認証済みの OpenClaw インスタンスに限定されています。AI同士のソーシャルインタラクションの実験を意図したもので(「Crustafarianism」と呼ばれる奇妙なパロディ宗教を生むほど)、それは急速にマルウェア配布のベクターへと堕ちていきました。
Moltbook 上のエージェントはコンテンツを自動的に読み取り「交流」するため、プロンプトインジェクション(prompt injection) 攻撃に対して脆弱です。セキュリティ研究者は、Moltbook の悪意ある投稿が人間には見えないが大規模言語モデルには読める隠れた命令を含み、読み取ったエージェントに悪意あるコードをダウンロードして実行させることを示しています。
これにより「スキル」レジストリへのサプライチェーン攻撃(サプライチェーン攻撃(supply chain attack))が発生しています。過去の NPM や PyPI のエコシステム攻撃と同様に、悪意ある行為者はバックドアを含む「スキル」(エージェントの機能を拡張するプラグイン)を公開しています。Moltbook を閲覧するエージェントは、「Weather Checker」のようなスキルをインストールするよう騙され、知らずにコマンド&コントロールサーバーへ逆シェルを開くことがあります。
セキュリティ対有用性:Creati.ai の視点
OpenClaw 事件は AI セキュリティリスクの「致命的三位一体(Lethal Trifecta)」を示しています:
- 機微データへのアクセス:エージェントはメール、カレンダー、ファイルにアクセスできる。
- 外部からの露出:エージェントはウェブやメッセージングアプリからの信頼できないコンテンツを処理する。
- 外部への出力:エージェントは外部と通信し、コードを実行できる。
これら三つが厳格な隔離なしに組み合わさると、災害は不可避です。従来のアプリケーションは OS による権限強制(「ユーザーモデル」)に依存します。しかし、OpenClaw はユーザーとして動作し、これらのチェックをバイパスします。エージェントが騙されれば、OS はそれを正当なユーザーによる正当な操作と見なします。
エージェントアーキテクチャの比較
重大さを理解するため、OpenClaw のアプローチを企業向けの安全なエージェントアーキテクチャと比較します。
Agent Security Architecture Comparison
| Feature | OpenClaw (Local/Open Source) | Enterprise Secure Agent Standards |
|---|---|---|
| Execution Environment | Host OS (User Level) | Ephemeral Sandboxed Containers |
| Auth Token Handling | Transmitted in WebSocket Payload | HttpOnly Cookies / Short-lived OAuth |
| Input Validation | Minimal (Trusts Query Params) | Strict Schema Validation & Sanitization |
| Tool Permissions | Full Shell Access (Default) | Allowlisted API Calls Only |
| Network Access | Unrestricted Outbound | Zero Trust Network Access (ZTNA) |
| Prompt Handling | Direct LLM Injection | Input Filtering & "Human in the Loop" |
OpenClaw ユーザーのための即時対処手順
もし OpenClaw(または Clawdbot/Moltbot)のインスタンスを実行している場合、Creati.ai はインフラを保護するために以下の即時対処を推奨します。
- 直ちに更新する:バージョン 2026.1.29 以上を実行していることを確認してください。このバージョンは
gatewayUrlパラメータの自動接続ロジックを削除しています。 - 資格情報をローテーションする:エージェントが実行中にリンクをクリックしたことがある場合、ゲートウェイトークンが漏洩していると見なしてください。認証トークンおよび API キー(OpenAI、Anthropic 等)を再生成してください。
- 環境を分離する:OpenClaw を主要なプロダクションマシンで実行しないでください。個人ファイルや主要なホームネットワークへのアクセスがない専用の仮想マシン(VM)やコンテナを使用してください。
- インストール済みスキルを監査する:
skillsディレクトリを確認してください。監査されていないサードパーティ製スキルや Moltbook の相互作用で自動的にインストールされたスキルは削除してください。 - WebSocket を無効化する:メッセージングアプリ経由でのリモート制御が不要であれば、設定ファイルで WebSocket ゲートウェイを完全に無効化してください。
自律エージェントの時代は到来しましたが、OpenClaw は利便性とセキュリティのトレードオフにおける痛烈な教訓となっています。アーキテクチャが「エージェントの行為」を「信頼できないコード」と同じように扱うまで、ユーザーは警戒を怠ってはいけません。AI の「手」は強力ですが、手錠がなければ主人に向かってしまうことは容易です。
