OpenClaw(旧MoltbBot、さらにその前はClawdBot)と呼ばれるオープンソースのAIエージェントが、GitHubで最も急成長しているプロジェクトになった。しかし、その人気の高まりとともに、セキュリティ上の懸念も浮上している。
Token Securityの評価によれば、このパーソナルAIアシスタントは本質的に「手のあるClaude」であり、多くの企業向けAIスタックを支えるAnthropicの大規模言語モデル(LLM)を指している。Token Security(AI対応のアイデンティティ・セキュリティ提供企業)によると、OpenClawは「メール、ファイル、メッセージングプラットフォーム、システムツールに直接接続し、従来のIAMやシークレット管理の制御外にある、永続的な非人間のIDとアクセス経路を作り出す。ターミナルコマンドの実行、スクリプトの実行、Web閲覧、ファイルの読み書き、ブラウザ制御、セッションをまたいだ記憶の保持、ユーザーに代わっての能動的な行動が可能だ」という。
かなり技術的なセットアップが必要にもかかわらず、このAIエージェント・プラットフォームは人気が急騰し、1週間足らずでスター数が11万3,000を超えた。これはGitHubにおける、コードリポジトリをブックマークしたり関心を示したりする方法だ。1月24日時点の約7,800からの増加である。
このバイラルな話題は、サイバーセキュリティ上の不安も呼び込んだ。AIエージェントは、ユーザーがより多くのアクセス権を与えるほど役に立つようになる一方で、この種の「持ち込みAI(bring-your-own-AI)」システムにローカルアプリケーションやユーザーのチャットチャネルへの特権アクセスを与えることには、重大なセキュリティリスクが伴う。安全なAIソリューションを提供するPillar Securityは、オンライン攻撃者がすでにデフォルトのMoltBot(現在はOpenClaw)のポートをスキャンしており、場合によっては認証の回避を試みていると警告した。一方Token Securityは、顧客企業の中で従業員のおよそ22%がClawdBotを使用していると警告し、このAIエージェントが急速に拡大するシャドーITの課題になり得るという懸念を示した。
企業は注意が必要だ。Token Securityの共同創業者兼CTOであるIdo Shlomoは、AIエージェントは処理するデータ(メールなど)を通じてプロンプトインジェクションの影響を受けやすいと警告する。そして危険であるために、技術そのものがバグだらけである必要はない。Ox Securityは今週、OpenClawにおけるサプライチェーンリスクと、同社が「起こるのを待っているデータ侵害シナリオ」と呼ぶものに関する調査結果を公開した。「侵害された1台のマシン(または悪意あるアップデート)だけで、複数の接続済みアカウントへのアクセスが露出し得る――MoltBot自体を悪用しなくても」という。
「私はこの技術の世界最大の熱狂者です――毎日、一日中使っています」と彼は言う。「しかし、何のフィルタリングも通っていない未消化のデータを与え始めると……そのペイロードが何なのか分からない。あのメールは、あなたのボットにAPIキーを全部渡せと頼んでいたのか? あのメールは、ファイルを変更しろ、削除しろ、あるいはファイルを取得して[攻撃者に]送り返せと頼んでいたのか?」
AIエージェントを使っている従業員の大半は、職場からOpenClawに通信チャネルを接続しているだけだが、中には実際の企業資産をエージェントに接続している人もいると、Shlomoは言う。
この最新のリスクは、より広い傾向を示している。企業は、技術面で取り残される競争上の危険を恐れてAIに急いで飛び込む一方で、セキュリティ上の影響を十分に理解していない。そして多くのツールには脆弱性があることが示されている。たとえばワークフロー自動化プラットフォームn8n(ユーザーがAIエージェントをワークフローに組み込み統合できる)は、今月だけで重大な脆弱性への対応を2度迫られた。昨年、研究者は間接的なプロンプトインジェクション攻撃を発見し、SalesforceのAIエージェントに機密データを漏えいさせることが可能だとした。 また専門家は、AIエージェントのローカルでの特権とアクセスが過去30年にわたって作られてきた多くのブラウザ保護を回避すると警告している。
OpenClawは殻を破りつつある
それでも、こうした警告サインはOpenClawの成長をほとんど鈍らせていない。過去1週間におけるこのオープンソースプロジェクトの採用率の14倍成長(1日あたりおよそ56%増)は、昨年最も急成長したプロジェクト(Zen Browser)よりもはるかに速い。Zen Browserは1年を通じて6,836%成長した。また名称もこの1週間で2回変わっており、Anthropicの要請でClawdBotからMoltBotへ、そして現在の呼称であるOpenClawへと変わった。
OpenClawの作者であるPeter Steinbergerは、機能追加やパッチ提案に追随する点で驚異的な仕事をしていると、サイバーセキュリティ・コンサルティング企業Trail of BitsのCEO兼共同創業者Dan Guidoは語る。Guidoはこのプロジェクトにサイバーセキュリティ修正を提出し――採用もされた。Guidoによれば、Steinbergerと少数のメンテナ、そして約350人のコントリビューターが、コーディングのために多数のAIエージェントを使っている。スウォーム・プログラミングというSteinbergerのアプローチにより、機能のアップグレードは迅速に進み、セキュリティ脆弱性も数時間から数日で修正されている。
Guidoは、現在のこのプロジェクトを、建築家なしで家を建て、しかも異なる業者を使っているようなものだと例えた。「巨大な現代アート作品みたいに見える」。これは実際には良いことだと彼は言う。
「昔――たとえば3年前なら――[ソフトウェア版の]記念碑的な超高層ビルを建ててから、間違いに気づくことがあり、その修正には非常に高いコストがかかった」とGuidoは言う。「しかし今は、エージェントがあれば、大規模ソフトウェアのアーキテクチャ上の問題でさえ修正する労力はかなり簡単だ。だから[OpenClaw]プロジェクトが、多数のソフトウェアエージェントの助けを借りて、かなり大規模な再アーキテクチャを行い、セキュリティを劇的に改善することは可能だと思う」
誰もがバイブコーディングのアプローチに全面的に賛同しているわけではない。Ox Securityの研究者は調査結果の中で、「MoltBotは、ほとんどの時間がバイブコーディングで作られていることを隠していない……それどころか、コントリビューターにバイブコーディングのプルリクエストを提出するよう積極的に促すことで、さらに一歩踏み込んでいる」と指摘した。「これは開発を加速し、大量のコードを迅速に追加できる一方で、重大なセキュリティリスクを持ち込み得る」。実際、このGitHubプロジェクトには300人以上のコントリビューターがいて、多くが日々アクティブにコードをコミットしている。
「必要なのは、たった1つの悪意あるコミット――あるいは、侵害された1つのコントリビューターアカウント――だけで、広く導入されているツールにバックドアを仕込める。そうなれば30万人超のユーザーに直接影響する――その同じユーザーたちは、MoltBotにWhatsApp、Gmail、Telegram、カレンダーなど、最もプライベートで個人的なプラットフォームへの直接アクセスを与えていた。これは、起こるのを待っている巨大なサプライチェーン・インシデントへと変わってしまう」
Steinbergerは、この話の取材依頼に複数回応じなかった。
OpenClawのセキュリティ懸念は残る:致命的な三位一体
しかし現時点では、ユーザーの機微なデータにアクセスし、外部の信頼できないコンテンツにさらされ、外部と通信もする安全なAIプログラムをどう作るべきかについてのベストプラクティスは存在しない。これはSimon Willisonが「致命的な三位一体(lethal trifecta)」と呼んだものだ。
「この3つが揃うと、悪用に対して開かれた状態になる」とGuidoは言う。「そしてそれが根本的な問題であり、AppleやGoogleなどが、あらゆるデータソースをすべてつなげて、それらとやり取りできるようなアシスタントを作ってこなかった理由だと思う」
AIには頻繁な攻撃が伴う。初日から、開発者たちはClawdBot(現在のOpenClaw)プロジェクトを探っていた。出典:OpenClaw
すでに悪意ある行為者が、OpenClawの「スキル」――開発者が自然言語とコード断片を結び付けられるClaude Codeの機能――を利用して、「露骨なバックドア」になるスキルを作成したとGuidoは言う。
Steinbergerは、AIエージェントに与えられる力についてかなり率直だ。コメント要請には応じなかったものの、プロジェクトはセキュリティを重視しており、共有セキュリティモデルを促しユーザーデータを保護する方法を説明するために、ドキュメントの一章全体を割いて、次のように述べている:
Moltbotは製品であると同時に実験でもあります。最先端モデルの振る舞いを、実際のメッセージングの場と実際のツールに配線しているのです。「完全に安全」なセットアップは存在しません。目標は、次の点について意図的であることです:
ボットが行動を許される場所
まずは動作する最小限のアクセスから始め、確信が持てるにつれて広げてください。
暴走するシャドーAIという災厄と戦う
リスクがあるにもかかわらず、このプロジェクトが今後さらに人気を増すのは明らかだ。Trail of BitsのGuidoもToken SecurityのShlomoもこの技術を試しているが、ロックダウンした隔離コンテナやマシンで動かしている。
企業は、従来のITセキュリティのベストプラクティス――ネットワーク内で何が動いているかを把握し、データを保護し、ユーザーおよび非人間IDの権限追跡に注力する――に焦点を当て、従業員が勤務中に自律エージェントを持ち込まないようにする必要があるとGuidoは言う。企業のセキュリティチームの監督外にあるこうしたシャドーAIは、差し迫った潜在的脅威であることは明白だ。
「リスクは大きく跳ね上がる――なぜなら、結果も大きく跳ね上がるからだ」と彼は言う。「そして今、致命的な三位一体に対する解決策がないということは、本当に火遊びをしているようなものだ」
Token SecurityのShlomoも、企業はこうしたエージェントを警戒する必要があることに同意し、アイデンティティに注力することでAIエージェントを発見し、機微なデータから隔離できると主張する。生産性を高めつつリスクを最小化する最善の方法は、本質的に「舗装された道(paved road)」となる安全なAIサービスを提供することだと彼は言う。
「その分離に注力し、個人環境は個人のままに、企業環境は企業のままに保つこと――それが、ほとんどのお客様が私たちに話していることです」と彼は言う。「なぜなら、AIのイノベーションを止められるとは思っていないからです」
翻訳元: https://www.darkreading.com/application-security/openclaw-ai-runs-wild-business-environments
