エグゼクティブサマリー
急速に採用が進むオープンソースのAIエージェント・ゲートウェイであるClawdbotには、重大な露出問題があります。ShodanとCensysを用いた当社の調査により、インターネット上で1,100件を超える公開アクセス可能なClawdbotのゲートウェイおよびコントロールのインスタンスを特定しました。多くの導入環境では認証が有効になっている一方で、認証が一切不要なインスタンスも多数見つかりました。その結果、APIキー、会話履歴、そして場合によってはrootシェルへのアクセスまで、偶然見つけた誰にでも開放されている状態でした。
これはClawdbot自体の脆弱性ではありません。強力な自律システムが、慎重なセキュリティ強化なしに導入されたときに予測可能な形で現れるパターンです。そしてClawdbotがアクセスできるもの――あなたのメッセージ、認証情報、ファイルシステム、ブラウザセッション――を考えると、リスクは極めて大きいと言えます。
Clawdbotを運用しているなら、読むのをやめて今すぐclawdbot security auditを実行してください。その後に戻ってきてください。
📚 この記事は、AIエージェントのセキュリティリスクに関する継続シリーズの一部です。 自律型AIシステムが増殖する中で、セキュリティチームが理解すべき新たな攻撃対象領域を記録しています。シリーズ全体はこの記事の末尾をご覧ください。
Clawdbotとは何か、そしてなぜ気にすべきなのか?
Clawdbotは、自分のハードウェア上でローカルに動作するオープンソースのパーソナルAIアシスタントとして、一気に注目を集めています。Peter Steinbergerによって作られ、Claudeのような最先端AIモデルをメッセージングプラットフォーム――WhatsApp、Telegram、Slack、Discord、Signal、iMessage、Microsoft Teams――に接続し、AIがあなたの代わりに実際に作業を行う能力を与えます。
魅力は明白です。アプリ間でコピー&ペーストする代わりに、AIアシスタントにテキストを送れば、あとはすべて処理してくれます。メールを読み、カレンダーを管理し、ウェブを検索し、シェルコマンドを実行し、ブラウザを操作し、セッションをまたいで長期記憶を維持します。ロブスターのマスコット(🦞)も可愛らしい。機能は本当に印象的です。
しかし、ここでハイプサイクルが見落としている点があります。Clawdbotは生産性アプリではありません。インフラです。
これは、私たちが追跡しているより広いパターンの一部です。エージェント型デスクトップエージェントとローカルファイルアクセスのセキュリティに関する分析でも取り上げたとおり、ローカルマシン上で動作するAIシステムは、クラウドベースのアシスタントとは根本的に異なるリスクプロファイルをもたらします。
具体的には、これは大規模言語モデルと実際の実行環境を橋渡しするエージェント・ゲートウェイです。いったん導入されると、あなたの攻撃対象領域の一部になります。ゲートウェイはデフォルトでポート18789で待ち受け、メッセージのルーティングを処理し、認証情報を管理し、ツールを実行します。コントロールUIは、設定、会話の検査、キー管理のためのWebベースの管理インターフェースを提供します。
そのインフラが適切な保護なしに露出すると、単にデータが漏れるだけではありません――あなたのデジタル生活の鍵を丸ごと渡すことになります。
https://www.youtube.com/results?search_query=clawdbot&ref=breached.company
数値で見る:判明したこと
インターネットスキャンプラットフォームを用いて、公開インターネット上に存在するClawdbotインスタンスを特定したところ、懸念すべき結果が得られました:
