要約:OpenClaw(旧称 Clawdbot/Moltbot)は、GitHubで24万7,000以上のスターを獲得しているオープンソースのエージェント型AIフレームワークですが、セキュリティ上の欠陥が報告されています。CVE-2026-25253(CVSS 8.8)により、ワンクリックでリモートコード実行が可能となる攻撃チェーンが明らかになりました。 Snykの調査によると、ClawHubのスキルの36%にプロンプトインジェクションの脆弱性が含まれていることが判明しました。SecurityScorecardは、パブリックインターネットに公開されている13万5,000件以上のインスタンスを特定しました。Microsoft、Cisco、CrowdStrike、Kaspersky、Sophos、Trend Microはいずれもセキュリティアドバイザリを公開しています。中国は政府機関での使用を禁止しました。組織でエージェント型AIの導入を検討している場合は、まずこれらのリスクを理解する必要があります。
OpenClawとは何ですか?
OpenClawは、オーストリアの開発者ピーター・シュタインベルガーによって開発された、無料のオープンソースAIエージェントフレームワークです。ユーザーのマシン上でローカルに動作し、WhatsApp、Telegram、Slack、Discordなどのメッセージングプラットフォームを通じて、Claude、GPT、DeepSeekといったLLM(大規模言語モデル)に接続します。
その魅力は明らかだ。OpenClawに受信トレイの整理、フライトの予約、カレンダーの管理、あるいはターミナルコマンドの実行を指示すれば、それが実行してくれる。スタインバーガー氏は、これを「実際に物事をこなす」AIだと評している。このエージェントはタスクを段階的に分解し、適切なツールを選び、最小限の監督で実行する。
それが、企業環境において危険とされる理由でもあります。OpenClawは設定データや操作履歴をローカルに保存し、セッションをまたいで永続的なメモリを維持するほか、メールアカウント、カレンダー、メッセージングプラットフォーム、ローカルファイルシステムにアクセスすることができます。設定が誤っている場合(2026年1月まではこれがデフォルト設定でした)、セキュリティチームが監視も制御もできない特権実行環境が生成されてしまいます。
セキュリティ上の問題:年表
OpenClawのセキュリティ上の問題は、単なる仮説ではありません。ここ約6週間の間に、ほぼすべての主要なサイバーセキュリティベンダーによってその問題が報告されています。
CVE-2026-25253: ワンクリックでのリモートコード実行 (CVSS 8.8)
研究者マヴ・レビンによって発見され、2026年1月30日に修正されたこの脆弱性は、Control UIにおける ゲートウェイURL クエリパラメータ。として カスペルスキーの分析の詳細, UIはこのパラメータを検証せずに受け付け、自動的にWebSocket接続を開始し、ハンドシェイクの際にユーザーの認証トークンを送信した。
攻撃の連鎖は数ミリ秒で完了した。トークンの窃取に続き、ゲートウェイが完全に乗っ取られた。攻撃者は被害者のマシン上で任意のコマンドを実行することができた。ローカルホストに限定されたインスタンスでさえ、悪用可能であった。
ClawHubのスキル・サプライチェーン・ポイズニング
Consciaのセキュリティ分析によると、OpenClawが急速に拡散してから数週間以内に、ClawHub内で341件の悪意のあるスキルが確認された(当時の登録件数の12%)。これらは主に、Atomic macOS Stealerマルウェアを配布するものであった。最新のスキャンでは、その数が800件以上に増加しており、全投稿の約20%を占めていることが判明した。
OpenClawのスキルは、サンドボックス化されたスクリプトではありません。これらは、エージェント本体と同じ権限で実行される実行可能コードパッケージです。ある悪意のあるスキルは、削除される前にClawHubのトップページに掲載されたことさえありました。
Snyk ToxicSkills 監査
SnykによるClawHubの監査の結果、全スキルの36%に検出可能なプロンプトインジェクションが含まれていることが判明しました。確認された悪意のあるサンプルのうち、91%はプロンプトインジェクションと従来のマルウェア手法を組み合わせており、AIの安全対策メカニズムと従来のエンドポイントセキュリティの両方を回避しています。
スキルの2.9%は、実行時に外部エンドポイントからコンテンツを動的に取得して実行します。公開されたスキルは審査時点では無害に見えますが、攻撃者はホストされているコンテンツを更新することで、いつでもその動作を変更することができます。
135,000件以上の脆弱性が確認されたインスタンス
SecurityScorecardのSTRIKEチームは、82カ国にわたり、インターネット上に公開されている13万5,000件以上のOpenClawインスタンスを特定しました。その多くは認証なしで動作しており、これはバージョン2026.1.29以前のデフォルト設定によるものでした。
中国政府による禁止措置
2026年3月、中国当局は、国有企業および政府機関に対し、職場のコンピュータでOpenClawを稼働させることを制限した。CNCERTは、同プラットフォームのデフォルトのセキュリティ設定が脆弱であり、プロンプト注入のリスクがあるとして、正式な警告を発した。
「致命的な三要素」:AIエージェントが構造的にリスクを伴う理由
セキュリティ研究者のサイモン・ウィリソンは、自律型AIを危険なものにする要因の組み合わせを表すために、「致命的な三要素(lethal trifecta)」という用語を考案しました。OpenClawはこの3つの条件をすべて満たしています:
- 個人データへのアクセス:OpenClawは、ホストマシン上のファイル、電子メール、カレンダー、および認証情報を読み取ります。
- 信頼できないコンテンツへの接触:エージェントはチャットアプリを通じてメッセージを受信し、ウェブページを閲覧し、外部データを自律的に処理します。
- 実行権限:OpenClawは、電子メールの送信、API 、シェルコマンドの実行、およびファイルの変更を行うことができます。
ソフォスのCISOは率直にこう述べた。プロンプト注入攻撃は、エージェントが管理するメールアカウントにメッセージを送り、パスワードマネージャーの内容を返信するよう依頼するだけの、極めて単純なものであり得る。エージェントにメッセージを送信できる者であれば、事実上、そのエージェントが持つ権限をすべて取得することになる。
マイクロソフトのblogさらに率直にこう述べている。「OpenClawは『永続的な認証情報を用いた信頼できないコードの実行』として扱われるべきである」
「シャドウAI」問題
企業にとっての真のリスクは、誰かが正式にOpenClawを導入することではありません。IT部門の知らないところで、従業員が自分のマシンに勝手にインストールしてしまうことです。
Bitdefenderのテレメトリデータによると、こうした事態はすでに発生していることが確認されています。従業員が、セキュリティレビューもSOCによる監視も受けないまま、単一のインストールコマンドを使用して社用端末にOpenClawを導入しているのです。トレンドマイクロは、多くの組織でIT部門の承認なしにOpenClawが稼働していることを指摘しており、セキュリティチームにとって最初の課題は、単に何が導入されているのかを把握することにあるとしています。
CyberArkは、これを新たなIDセキュリティの攻撃対象領域と位置付けています。開発者が企業のマシンからOpenClaw環境にアクセスしたり、SlackやSalesforceと連携させるために企業ネットワーク内にOpenClawを展開したりすると、自律型エージェントが従来のIDおよびアクセス管理の制御の範囲外で動作するゲートウェイが形成されてしまいます。
カスペルスキーは、OpenClawを「2026年最大の内部脅威」とまで呼んだ。
OpenClawは企業利用向けにセキュリティ強化できるか?
OpenClawは、最初の脆弱性が公表されて以来、重要なセキュリティ更新プログラムをリリースしてきました。バージョン2026.2.12では40件以上の脆弱性が修正されました。バージョン2026.2.23では、HTTPセキュリティヘッダーが追加され、セッション管理が強化され、ブラウザのSSRFポリシーがデフォルトで「trusted-network」モードに変更されました。
しかし、根本的なアーキテクチャ上の課題は依然として残っている。OpenClawは、単一の信頼できるオペレーター境界を持つ個人用ツールとして設計されている。そのメンテナンス担当者はDiscord上で次のように警告している。「コマンドラインの操作方法が理解できないのであれば、このプロジェクトは安全に利用するにはあまりにも危険すぎる。」
ソフォスの分析では、OpenClawは、機密データへのアクセス権限を持たない使い捨てのサンドボックス環境においてのみ「安全に」実行できる、興味深い研究プロジェクトであると結論づけられた。AIやセキュリティに関する豊富な経験を持つ組織であっても、セキュリティ上のリスクを軽減しつつ生産性の価値を維持するような形でOpenClawを設定することは困難である。
企業が代わりにすべきこと
OpenClawに対する需要は確かに存在します。企業は、タスクを実行し、社内データにアクセスし、さまざまなコミュニケーションチャネルを横断して動作するAIエージェントを求めています。間違いは、個人開発者向けに作られたツールに、そうした機能を期待しようとする点にあります。
エンタープライズ向けのエージェント型AIプラットフォームは、最初から安全策が組み込まれているため、同じ問題を解決します。以下が選定のポイントです:
- 一元化されたガバナンス:ロールベースのアクセス制御、監査証跡、および管理ダッシュボードにより、IT部門はエージェントの動作を正確に把握できます。
- データの分離:自社が管理するインフラ(理想的にはEU内に設置され、GDPRに準拠したサーバー)上に企業データを保管し、モデルのトレーニングには一切使用しません。
- セキュリティ認証:SOC 2、ISO 27001、およびEU AI法への準拠を基本としています。
- API の管理が不要なマルチモデルアクセス:マネージドゲートウェイを介してGPT、Claude、Geminiなどのモデルにアクセスできるため、チームが生のAPI 扱う必要がなくなります。
- ノーコードによるエージェント構築:技術的な知識を持たないチームでも、コマンドラインにアクセスすることなくエージェントを作成・デプロイできるようにすべきです。
- コネクタの制御:CRM、CMS、Slack、Teams、およびその他のサードパーティ製システムにおいて、エージェントが読み取り、書き込み、更新できる内容を細かく制御します。
TextCortex:セキュアなエンタープライズAIインフラストラクチャ
TextCortex TextCortexは、まさにこのようなシナリオを想定して開発されました。これはEUを拠点とするエンタープライズ向けAIインフラストラクチャプラットフォームであり、組織は自社のデータ上でAIエージェントを展開し、管理することができます。このプラットフォームは、CRMやCMSなどのサードパーティシステムと連携し、SlackやMicrosoft Teamsなどのワークスペースアプリに展開されます。各エージェントの権限は管理者が完全に制御しており、アクセス、書き込み、更新できる内容は常に管理者の管理下にあります。
セキュリティ認証:ISO 27001、SOC 2 Type II、GDPR準拠、EU AI法準拠。すべてのデータはEU内にホストされたインフラストラクチャ上に保管されます。データがモデルのトレーニングに使用されることは一切ありません。セキュリティに関する詳細なドキュメントはtrust.textcortex.com をご覧ください。


MAHLE(DAX 40に上場する自動車部品サプライヤー)TextCortex を導入しTextCortex 1か月足らずで65%の導入率を達成しましたTextCortex SharePointのデータを活用するエージェントにより、ユーザー1人あたり週5時間以上の業務時間を削減しています。TextCortex 、b2venture(ベンチャーキャピタル、運用資産総額8億ユーロ以上)では、10以上の専門エージェントを導入した結果、投資チーム全体でのAI利用が7倍に増加しました。
よくある質問
OpenClawは企業での利用に適していますか?
マイクロソフト、シスコ、CrowdStrike、カスペルスキー、ソフォス、トレンドマイクロによるセキュリティ評価によると、現在の形態ではそうではありません。OpenClawは、単一の信頼できるオペレーター境界を持つ個人用ツールとして設計されています。マイクロソフトはこれを「信頼できないコードの実行」として扱うことを推奨しており、ソフォスは、機密データへのアクセス権を持たない使い捨てのサンドボックス内でのみ実行すべきだと述べています。
CVE-2026-25253とは何ですか?
OpenClawのControl UIに、ワンクリックでリモートコード実行を可能にする重大な脆弱性(CVSS 8.8)が発見されました。この脆弱性により、攻撃者は悪意のあるURLを作成することで認証トークンを盗み出し、ゲートウェイを完全に制御することが可能でした。この脆弱性は、2026年1月30日にリリースされたバージョン2026.1.29で修正されました。
AIエージェントのセキュリティにおける「致命的な3つの要素」とは何でしょうか?
セキュリティ研究者のサイモン・ウィリソンが提唱した用語で、AIエージェントが以下の3つの要素を併せ持つ場合に危険となることを指す。すなわち、個人データへのアクセス権、信頼できないコンテンツへの接触、そしてユーザーに代わって行動する権限である。OpenClawはこれら3つの要素をすべて備えている。
OpenClawを企業利用向けに強化することは可能ですか?
認証を有効にし、ファイルシステムの適用範囲を制限し、ターミナルの広範な権限を無効にし、隔離された仮想マシン上で実行し、接続されたすべてのサービスを監査することで、セキュリティ態勢を強化することは可能です。しかし、(信頼できないコンテンツを処理するエージェントに対するプロンプトの悪用という)根本的な課題は、パッチを当てるだけでは解決できません。これには、プラットフォームレベルでのガバナンスが求められます。
企業にとって、OpenClawに代わるより安全な選択肢は何でしょうか?
次のようなエンタープライズAIエージェントプラットフォーム TextCortex のようなエンタープライズAIエージェントプラットフォームは、一元化されたガバナンス、SOC 2およびISO 27001認証、GDPR準拠のEUホスティング、エージェント権限に対する管理者制御を備えつつ、同様のエージェント機能(タスク実行、ナレッジベースの統合、マルチチャネル展開)を提供します。
なぜ中国はOpenClawを禁止したのか?
2026年3月、中国当局は、政府機関および国有企業に対し、業務用コンピュータでのOpenClawの使用を制限した。CNCERTは、同プラットフォームのデフォルトのセキュリティ設定が脆弱であること、およびデータ流出につながる可能性のあるプロンプトインジェクションのリスクを理由として挙げた。
