最近、奇妙な名前のAIツールが大きな騒動を引き起こしている——機械の意識に関する主張も含まれている——そこでOpenClawについて解説する。
2025年11月にリリースされたOpenClawは、オープンソースの自律型人工知能(AI)エージェントです。ユーザーのコンピューター上でローカルに動作するよう設計されており、タスク管理、アプリケーションとの連携、ファイルの直接読み書きが可能です。個人用デジタルアシスタントとして機能し、WhatsAppやDiscordなどのチャットアプリと連携して、メールの自動化、カレンダーのスキャン、インターネット情報検索を自動化します。
OpenClawは以前はClawdBotとして知られていたが、プロジェクトは大手AI開発企業Anthropicと衝突した。同社が「Claude」という名称のツールを保有していたためである。これに対しOpenClawの開発者は急遽プロジェクト名を「Moltbot」に変更したが、この改名によりサイバー犯罪者によるなりすましキャンペーンが発生した。商標問題とそれに続く悪用は、OpenClawの評判に傷をつけた。
ハドソンロック社が、感染システムからOpenClawの設定全体を盗み出す情報窃取ツールの初観測事例に関する記事を掲載したことで、さらなる打撃を受けた。これは単なるブラウザパスワードではなく、パーソナルAIエージェントの「アイデンティティ」そのものを略奪する行為に等しい。
この事例は差し迫った危険性を浮き彫りにしている——OpenClawだけでなく、他のAIエージェントにも同様の脅威が及ぶ。情報窃取型マルウェアは、認証情報だけでなくAIのペルソナ全体とその暗号化「万能鍵」を収集し始めており、侵害された単一のエージェントが、完全なアカウント乗っ取りと長期的なプロファイリングの足がかりとなる危険性がある。
以前より広い文脈で述べた通り、敵対者はサプライチェーンレベルでAIシステムを標的にし始めており、静かにトレーニングデータを汚染し、特定の条件下でのみ発現するバックドアを仕込んでいる。OpenClawはまさにこの新たなリスク領域に位置する:オープンソースであり、急速に進化し、メールボックスやクラウドドライブ、業務ワークフローへの接続が拡大する一方で、そのセキュリティモデルは依然として即興的な状態にある。
現段階の開発状況において、OpenClawを堅牢な生産性ツールと見なすのは願望に過ぎない。なぜなら、それはむしろ冒険心旺盛で記憶力が長く、何が非公開にすべきかを全く理解していない熱心すぎるインターンのような振る舞いをするからだ。
研究者や規制当局は既に、プロンプト注入リスク、ログ汚染、および攻撃者が平文の認証情報やトークンを、エージェントが忠実に処理する汚染されたメール・ウェブサイト・ログを介して手渡す事例を文書化している。
OpenClawを安全に利用する方法
本番環境でのOpenClaw利用を検討している方にとって、全体像はさらに不安を煽るものです。OpenClawはローカルで動作しますが、冒険的な設計となっています:ブラウジング、シェルコマンドの実行、ファイルの読み書きが可能で、人間のチェックなしに「スキル」を連鎖させられます。 権限設定の誤り、過剰な特権を持つスキル、そして「役に立つならアクセスを許可しよう」という文化が相まって、エージェントはアカウントやトークン、ドキュメントの中心に位置しながら、ほとんど制限なく動作する状態に置かれがちです。
実際、MetaでAIの安全性および整合性に関わる業務に従事する従業員が、ソーシャルメディアX 上で、ClawBotが自身のメール受信箱の大部分を削除するのを防げなかったX 最近共有した。
さらに、オランダ個人情報保護監督機関(Autoriteit Persoonsgegevens)は、機密データや規制対象データを扱うシステムにおいて、OpenClawのような実験的なエージェントを一切導入しないよう組織に警告した。特権的なローカルアクセス権限、未成熟なセキュリティ設計、そして疑わしいサードパーティ製プラグインの急速に拡大するエコシステムが組み合わさることで、エンドポイントにおける一種のトロイの木馬となる危険性を指摘している。
マイクロソフトはこの分野において、非常に理にかなった推奨事項の一覧を提供しています。これらはOpenClawに特化したものではありませんが、永続的な認証情報を持つ、自己ホスト型でインターネット接続されたエージェントに対する保守的な基準を提供します。(これらの推奨事項が過度に技術的に感じられるのは、広範なアクセス権を持つAIエージェントを安全に使用することが、依然として実験的かつ技術的なプロセスであるためです。)
- OpenClaw(または類似のエージェント)を、分離されたホスト上のサンドボックス化された仮想マシンまたはコンテナ内で実行し、デフォルトで拒否するアウトバウンド通信と厳密にスコープされた許可リストを設定する。
- ランタイムには専用の非人間サービスIDを付与し、最小権限を適用し、トークン有効期間を短く設定し、本番環境のシークレットや機密データへの直接アクセスを許可しない。
- 特権環境への新規コード導入と同様に、スキル/拡張機能のインストールを扱う:レジストリを制限し、出所を検証し、稀なスキルや新規に確認されたスキルを監視する。
- エージェントのメモリ/状態および動作をログ記録し、定期的にレビューして、特に信頼できないコンテンツや共有フィードを取り込んだ後に、永続的な指示変更がないか確認する。
- 核攻撃と舗装が必要な事態を想定し、準備を整えておくこと:機密性のない状態のスナップショットを手元に用意し、再構築と認証情報ローテーションの手順書を作成し、その手順をリハーサルしておく。
- 情報窃取型マルウェアやその他のマルウェアを検出できる最新のリアルタイムマルウェア対策ソリューションを実行してください。
脅威を報告するだけでなく、取り除く
サイバーセキュリティのリスクは、ヘッドラインを超えて広がるべきではありません。今すぐMalwarebytes ダウンロードして、デバイスに脅威を持ち込まないようにしましょう。
