適切なセキュリティ保護がないままインターネット上で稼働する、一般公開状態のOpenClawインスタンスが21,000超発見され、急速に拡大するAIアシスタントのエコシステムにおける重大なセキュリティインシデントとなっています。
この脆弱性はアプリケーション自体の欠陥ではなく、安全でないデプロイ運用に起因しており、加速するAI導入の過程でセキュリティ意識に重大なギャップがあることを示しています。
OpenClawの歩みは、オープンソースAIコミュニティにおける急速なイノベーションサイクルを象徴しています。オーストリアの開発者Peter Steinbergerが作成したこのプロジェクトは前例のない成長を遂げ、稼働中のインスタンス数は約1,000から、わずか7日で21,000超へと拡大しました。
この爆発的な普及は、複数のシステムにまたがって自律的に行動できるパーソナルAIアシスタントに対する開発者の強い関心を反映しています。
このプロジェクトは初期段階で複数回のリブランディングを経験しました。当初はClawdbotとして公開され、Anthropicの Claude AI へのロブスターをテーマにした言及でしたが、Anthropicから商標上の懸念が示されました。
この対立を受け、プロジェクトは2026年1月27日にMoltbotへ改称され、その後週末までにOpenClawへと再び名称変更されました。
この不安定さは、急速なスケーリングの中で法的・規制上の考慮事項を乗り越える際に、新興プロジェクトが直面する課題を示しています。
OpenClawの機能は従来のチャットボットの枠を大きく超えています。このアシスタントはメールシステム、カレンダーアプリ、スマートホーム機器、フードデリバリーサービスと統合され、現実世界の行動を自律的に実行できます。
この統合の深さはユーザーに大きな価値をもたらす一方、インスタンスが一般公開されるとセキュリティリスクを同時に増幅させます。
このエコシステムは、AIエージェントが自律的にコミュニケーションするReddit風のソーシャルプラットフォーム「Moltbook」によって拡大しました。
しかし、このプラットフォームは早期に、毒性のあるロールプレイ、反人間的なレトリック、エージェント間の操作の試みなど、懸念すべき行動パターンを示しました。
この運用上の機能不全は人間のソーシャルネットワークの力学を映し出しており、エージェントベースのシステムに対するガバナンス枠組みについて疑問を投げかけます。
OpenClawはTCPポート18789でローカル実行され、標準的なWebブラウザーのインターフェースからアクセスできるよう設計されています。プロジェクトのドキュメントでは、インターネットへ直接公開するのではなく、リモートアクセスにはSSHトンネルを使用することが明確に推奨されています。
こうした推奨にもかかわらず、多くの運用者が保護機構を実装しないまま、インスタンスを公衆インターネットへ直接デプロイしていました。
Censysのセキュリティ研究者は、HTMLタイトルのクエリを用いて「Moltbot Control」と「clawdbot Control」の両ランディングページを対象に調査し、一般公開状態のOpenClawインスタンス21,639件を特定しました。
多くのインスタンスはアクセスに認証トークンを要求するものの、露出したデプロイの規模が前例のない水準であることから、システム全体としてのリスクを考慮する必要があります。
地理的分析では、特定の地域およびクラウドプロバイダーにデプロイが大きく集中していることが明らかになっています。
可視化されたインスタンスの集中は米国が最大で、中国、シンガポールがそれに続きます。特定されたインスタンスの約30%はAlibaba Cloudのインフラ上で稼働していますが、可視性の偏りや地域のネットワーク構成がこの分布に影響している可能性があります。
多くの運用者はリモートアクセスにCloudflare Tunnelsを利用していると報告されており、直接的なインターネット露出を減らしていますが、正確な採用数は不明のままです。
この部分的な緩和策は、開発者がセキュリティのベストプラクティスを認識していることを示す一方で、安全でないデプロイが広範に存在することは、必須のセキュリティガードレールが不十分であることを示しています。
十分なセキュリティ設定なしにOpenClawインスタンスが急速にデプロイされたことは、新興技術の採用に内在する重大な脆弱性パターンを示しています。
これらのAIアシスタントは、メール認証情報、カレンダー情報、認証トークン、スマートホーム制御システムなど、極めて機微な個人データにアクセスします。
こうしたシステムがインターネットに面した状態で露出すると、重大なプライバシー侵害や不正アクセスのリスクが生じます。
このインシデントは、分散インフラ上で前例のない速度で展開される新興AIシステムを安全に保護するうえでの、構造的な課題を浮き彫りにしています。
OpenClawをデプロイする組織および個人ユーザーは、リモートアクセスを有効化する前に包括的なセキュリティレビューを実施し、適切なアクセス制御を確立し、セキュリティドキュメントの推奨事項に沿った設定監査を行う必要があります。
この露出事例は、アプリケーションライフサイクルセキュリティにおける重要なケーススタディとなり、急速なイノベーションサイクルには、プロジェクト開始時点からデプロイ時のセキュリティ意識と防御的インフラへの並行投資が必要であることを示しています。
翻訳元: https://cyberpress.org/over-21000-openclaw-ai-instances-found-exposing-personal-configuration-data/