出典:Koshiro K / Shutterstock
1月、OpenClawプロジェクトが誕生してわずか2ヶ月で、数百人のユーザーが自分のシステムで動かすためにソフトウェアをダウンロードしていた。3月初旬にはGitHub上のスター数が25万を超え、開発者の間での人気を示した。そして3月16日、エージェンティックAIフレームワークは企業界での正当性を獲得した。NvidiaのCEOジェンスン・ファンが、Nvidia GPU Technology Conference(GTC)2026の基調講演でそれに言及したのだ。
「OpenClawは、エージェンティックコンピューターのオペレーティングシステムをオープンソース化した」とファンは聴衆に語り、こう続けた。「その意味合いは計り知れない……今日、世界中のあらゆる企業がOpenClaw戦略、つまりエージェンティックシステム戦略を持つ必要がある。これが新しいコンピューターだ。」
しかし、OpenClawはまだ企業の本番環境に対応できていない可能性がある。このフレームワークは依然として深刻なセキュリティおよび安定性の問題を抱えている。2月、Gartnerは企業に対して、同プラットフォームのダウンロードとトラフィックをブロックするよう勧告した。同社はOpenClawを「デフォルトで安全でない」と評価していた。複数のサイバーセキュリティ企業が、インターネット経由でアクセス可能な脆弱なOpenClawインスタンスを数万件以上発見している。5月初旬の時点で、国家脆弱性データベースによると、研究者たちはこのフレームワークにおける少なくとも454件の脆弱性を報告している。
セキュリティと安定性を改善するためにOpenClawのコアソフトウェアを再設計する取り組みは容易ではなく、4月にはユーザーに多大な混乱をもたらした。エージェントの動作が遅くなり、一部のインストールが修復ループに陥り、主要チャンネルを通じた通信も滞った。OpenClawの開発者ピーター・シュタインベルガーは5月5日の投稿でこれらの問題を謝罪した。
「問題は、これを正しく実現することがどれほど難しいかを過小評価していたことだ」と彼は述べた。
もちろん、OpenClawだけではない。OpenAIはOpenClawの開発者を採用してエージェンティック機能の開発を進めており、Anthropicはすでに「エージェンティックハーネス」——エージェントがアクセスできる範囲と実行できる操作を制御するオーケストレーション層——および広く使われているClaude skillsを通じてエージェンティック機能を追加している。OpenClawのより直接的な競合製品は、Nous Researchが開発したオープンソースの自己改善型AIエージェント「Hermes」であり、サンドボックス機能を内蔵している。
ブレーキのないF1カー
エージェンティックAIがもたらすセキュリティ問題への対処は、単純でも容易でもない。ソフトウェアセキュリティのスタックはエージェントを想定して構築されておらず、エージェントはソフトウェアプログラムよりもユーザーに近い存在だと、RubrikでAI部門のトップを務めるDev Rishiは言う。同じエージェントを異なるタイミングで実行すると、異なる動作をする場合がある。
「これらのエージェントはブレーキのないF1カーのようなものです」とRishiは言う。「非常に高速に動作し、高レベルの権限を要求するため、組織にどのようなリスクをもたらす可能性があるかという点で、実際にかなり恐ろしいのです。」
人間が介在することで制御できるかもしれないが、エージェントが非常に高速に動作する以上、リスクのある行動のたびに人間の承認を得ることはスケールしないと彼は言う。
それでも、生産性向上への期待から、ビジネスリーダーたちはプレッシャーを感じ続けるだろう。エージェンティックAIは、企業の調整・管理・情報処理といった多様な業務をすぐに支援できると、アプリケーションセキュリティ企業Snykの最高イノベーション責任者マノジ・ナイルは言う。これらのフレームワークは「エージェントができることに対する人々の想像を爆発的に広げ、エージェンティックアプリケーションの開発を過去1年間で見たことがないほど加速させる」とナイルは言う。
AIエージェントおよび非人間アイデンティティセキュリティ企業Token Securityによると、AI先進企業の5社に1社以上(22%)が数日以内にOpenClawを稼働させていた。
「いかに急速に広まっているかを目の当たりにしました——まさに野火のように——そして多くの場合、それはシャドーAIでした」と、Token Securityのプロダクトエバンジェリスト、クリスチャン・シムコは言う。「セキュリティチームやアイデンティチームが把握しないまま、ユーザーがOpenClawインスタンスを立ち上げていたのです。」
目標指向AIを制御する
まず何より、企業はエージェントの行動を把握する可視性と、ポリシーを設定・実施するためのガバナンス管理が必要だ。NvidiaはGTC 2026で発表したNemoClawを、OpenClawのエンタープライズグレード版として位置づけており、エージェントの登録・ガバナンス機能とオープンソースのオーケストレーション層を追加している。NemoClawはサンドボックス化にOpenShellを使用し、AIモデルとしてNemotron-3ファミリーを採用している。
新たなセキュリティアーキテクチャの必要性を示すのに要したのは、わずか47秒だった。サポートチケットで届いたエクスプロイトが、権限を昇格させ、顧客データにアクセスし、データを外部に持ち出し、自身の監査ログを改ざんして痕跡を消すまでの時間だ。OpenClawの開発者シュタインベルガーはNemoClawを紹介した3月のブログ投稿でそう述べた。
NemoClawは、OpenShellによるカーネルレベルの分離、LLMベースのポリシー評価、そしてデータの外部流出を防ぐ追加のデータセキュリティ層を組み合わせている。
「初めて、AIエージェントのために特別に設計された本番環境対応のセキュリティアーキテクチャが実現した」とシュタインベルガーは述べた。「ウェブアプリケーションセキュリティから転用したものでも、コンテナオーケストレーションから借用したものでもなく、自律型AIシステムが実際の企業インフラと連携する世界のために、ゼロから構築されたものだ。」
ガバナンスおよびポリシーエンジンは、Regoで記述されたポリシーステートメントを、OpenShell Policy Prover(OPP)を使ってアクションに変換するためのフォーマルメソドロジーを採用している。
「モデル、エージェント、ハーネスが正しい動作をすると仮定するだけでは不十分です」と、NvidiaのAIソフトウェア担当シニアディレクター、アリ・ゴルシャンは言う。「インフラによってガバナンスを強制できるよう、またそれが宣言的であり確率的でないことを保証できるよう、OpenShellを構築しました。」
目標は、エージェントがGitHubから読み取ることは許可するが書き込みは許可せず、その機能を持つ別のエージェントとも通信できないようにするポリシーを記述できるようにすることだと彼は言う。「私たちはまだ非常に初期段階にあり、これはまさに最前線の研究です。」
ハイブリッドアプローチ
セキュリティアーキテクチャは、OpenShellによって強制されるAI上のポリシー、ループ内の人間または信頼されたエージェント、そしてエッジケースに対処し悪意あるコンテンツをブロックするための各種セキュリティツールと管理策を組み合わせたものになる、とゴルシャンは言う。
「従来の検知・対応技術を構築しているわけではありませんが、すべてのログとトレースを出力しているので、それらをデータレイク、SIEM、SOC(セキュリティオペレーションセンター)に投入して追加の分析を行うことができます」と彼は言う。「型とインフラを提供しますが、ロジック自体は実装しません。」
他の企業はすでに追加のセキュリティ層を構築している。たとえばCiscoのDefense Clawは、skillsやモデルコンテキストプロトコル(MCP)サーバーを悪意あるコードや未承認のアーティファクトについてスキャンできる。Snyk Agent Securityも同様だ。
OpenClawの目標は、退屈なインフラの一部となるほど安定させることだと、開発者シュタインベルガーは5月5日のブログ投稿で述べた。そのため、OpenAIとOpenClaw Foundationは、この技術の開発チームを構築し、より少ないソフトウェアが特権コアに含まれるモジュラーなアーキテクチャの実現を目指している。
「OpenClawはより安全になり続けるだろう。より小さくもなる」と彼は言った。「しかしそれを行う間も、退屈なほど信頼性を保ち続けなければならない。」
翻訳元: https://www.darkreading.com/application-security/enterprises-agentic-ai-security-biggest-challenge
