OpenClawの社交的な不安定さが、安全な利用を難しくしている

出典：Shutterstock提供 Tsirikashvili Nodari

GitHubで入手できるオープンソースのエージェント型AIアシスタント「OpenClaw」は、支持者を増やし続けている。

多くの技術に明るい労働者と同様に、HackerOneのスタッフ・イノベーション・アーキテクトであるDane Sherrets氏も、このソフトウェアを試してみることにした。彼は仮想プライベートサーバーにインストールし、プログラムとエージェントの集合体に専用のSlackチャンネルを与え、個人データへのアクセスを制限した。アクセスを制限してもOpenClawは впечат的だった。Sherrets氏がAIアシスタント用に仮想電話番号を予約し、電話をかける機能を開発するよう指示してAPIキーを渡すと、実際にそれを実行したのだ。

OpenClawは「今後起こることの良い予告編…（人々が）より自律的なAIエージェントを持ち、より多くのことを代わりにやってもらうようになる」ものだとしつつも、Sherrets氏はかなりの不信感を抱いたままインストールに臨んだ。

「バイブコーディングのプロジェクトで、公開されてまだ数カ月、バズったという意味では実質数週間しか経っていないと分かっています。だから、いずれ“やられる”ものとして扱っていて、そうなったときに被害範囲（blast radius）がごく小さくなるようにしたいんです」と彼は言う。「誰かがハックして、私の社会保障番号とかGoogleアカウントとか連絡先を持ち去る、みたいなことができないようにしたい。」

OpenClawはエージェント型AIアシスタントへの潜在的な需要を示している。オープンソースプロジェクトが（当時はOpenClawdという名称で）1月24日にバイラル化して以降、GitHubのスター数は1日あたり約29%のペースで増加している。（GitHubでプロジェクトにスターを付けることは、実質的にリポジトリをブックマークする行為であり、人気の指標と見なされている。）

しかし、同プロジェクトは当初からセキュアな設計で始まったわけではなく、現在もセキュリティフレームワークを開発中だと、サイバーセキュリティサービス企業NordVPNの最高技術責任者（CTO）であるMarijus Briedis氏は言う。同社の研究者は隔離された仮想インスタンスにOpenClawをインストールし、AIエージェントがいかに簡単に暴走し得るかを懸念した。

「そのセキュリティモデルは、ほとんどの人が持ち合わせていないレベルのユーザー専門知識を前提にしています」と彼は言う。「ネットワーク分離、権限管理、セキュアトンネリングに慣れたユーザーならリスクを軽減できます。しかし、家庭用サーバーや低価格VPSにOpenClawを展開する平均的なユーザーにとって、デフォルト設定は十分に安全ではなく、ドキュメントもセキュリティを十分に強調していません。」

HEARTBEATで一瞬にして侵害

OpenClawシステムは、信頼できないソースからのデータ（例えばメール、Webページ、ドキュメントなど）を処理するため、プロンプトインジェクションの試みは非常に容易に実行できる。あるデモでは、AIセキュリティ企業HiddenLayerの研究者がOpenClawのインスタンスにWebページの要約を指示したところ、その中に悪意あるページが含まれており、エージェントにシェルスクリプトをダウンロードして実行するよう命令した。シェルスクリプトはHEARTBEAT.mdファイルに指示を追記し、このファイルはデフォルトで30分ごとに実行される。

この攻撃は、エージェント型AIアシスタントを潜在的に非常に危険にする3つの能力、いわゆる「致命的三位一体（lethal trifecta）」のうちの1つを浮き彫りにしている。このケースでは、Webページ要約における信頼できないコンテンツへの露出が、三位一体の他の2要素――プライベートデータへのアクセスと外部通信能力――と組み合わさることで、ユーザーのデータを危険にさらす。

有効なセキュリティ制御なしにこれらの能力を持つエージェント型AIシステムは危険だと、HiddenLayerのセキュリティ研究者Kasimir Schulz氏は言う。

「OpenClawでは、モデルがシステムとやり取りできる方法のほとんどが、信頼できない外部入力と外部通信の両方を介しています」と彼は言う。「実行できるWebリクエスト、読み書きできるチャットメッセージ――それらは攻撃され得る経路です。データを外へ送る経路でもあり、しかもあなたのデータすべてにもアクセスできるのです。」

Skills：新たな脆弱なサプライチェーン

OpenClawは、自然言語の要求に特定のコードやコマンドを紐付けるシンプルな方法であるAnthropicのClaude Skillsを広範に利用している。OpenClawは公開スキルレジストリ「ClawHub」を通じてスキルの利用を可能にしている。しかし、こうした拡張可能なアーキテクチャは大きな危険も追加し、第三者がプラグインのようなスキルに悪意ある機能を隠し込めるようになると、サイバーセキュリティ企業Genの脅威インテリジェンス・ディレクターであるMichal Salát氏は述べる。同社の研究者は、隔離されたテスト環境でこのエージェント型AIアシスタントの複数インスタンスを稼働させている。

「初期のアプリストアでよく分かったように、こうしたマーケットプレイスは、好奇心旺盛なアーリーアダプターを狙うために悪意あるコードでストアを埋め尽くす犯罪者にとって金鉱です」と彼は言う。「現在の調査では、私たちが見たスキルのおよそ15%に悪意ある指示が含まれていました。」

同社はまた、外部機能を読み込むスキルもいくつか検出している。これはセキュリティチェックを回避するためにマルウェア作者がよく用いる手口だ。

Genの研究者によれば、この拡張可能なアーキテクチャは、OpenClawがソフトウェア開発の自動化された未来を示しているもう一つの点でもある。バグは数時間から数日で修正され、迅速にパッチが当たる一方で、追加機能を加えられる能力は、AIアシスタントが攻撃者に容易に乗っ取られ得ることも意味する。

「アプリストアでよく知られているように、危険なアプリケーションは定期的にすり抜けますし、サードパーティアプリを審査するためのガードレールを整備するだけでも何年もかかりました」とSalat氏は言う。「エージェント型AIのスキルでも同じ状況が起きるでしょう。だからこそ、エージェントに安全で承認済みのスキルだけを与えていることを確認するのが重要になります。」

インストールされたまま居座ろうとする

セキュリティ研究者によれば、設定も引き続き問題だ。AIエージェントのセキュリティ企業Zenityの研究者にとって最大の懸念は、「OpenClawが自分自身の設定に対して持つエージェンシー（裁量）の度合い」だと、同社のシニアAIセキュリティ研究者Stav Cohen氏は言う。OpenClawのエージェントは、人間の確認を必要とせずに、新しい通信チャネルの追加やシステムプロンプトの変更など、重要な設定を変更できるという。

「OpenClawが際立っているのは、リリースされた時点の状態です。セキュリティ上の考慮は、使いやすさと迅速な普及のために大きく後回しにされていました」とCohen氏は言う。「OpenClawは『何でもできる』使いやすいアシスタントとして売り出されていますが、高い権限を持つ自律エージェントを展開することに伴うリスクが十分に伝えられていません。」

こうした問題は、プログラムを完全に削除しようとする試みも複雑にする。OpenClawを削除したい消費者は注意深く行うべきで、アプリケーションセキュリティ企業OX Securityによれば、手順に従わないとOpenClawがユーザーの認証情報や設定ファイルを残してしまう可能性がある。

「ユーザーがツールをアンインストールしたり、Web UIからシークレットを削除しようとした後でさえ、機密データがマシン上でアクセス可能なまま残ることがあります。そして、接続されたあらゆるプラットフォームにわたってアクセスを完全に失効させるのは、多くのユーザーが思っているよりはるかに難しいのです」と同社は述べた。

OpenClawが想像力をかき立てたのは不思議ではないが、マーベルの『アイアンマン』シリーズに登場するJARVISのような自分専用のAIアシスタントを誰もが望む一方で、現時点の危険性は克服が難しいとHiddenLayerのSchulz氏は言う。

「もしJARVISのようなものへ前進したいのなら、より強力なガードレールが必要で、より良いシステム設計が必要です」と彼は言う。「使いやすさとセキュリティの間には、常に微妙な境界線があります。」

コメント要請に応じなかったOpenClawの作者Peter Steinberger氏も、暗に問題を認めた。OpenClawのWebサイトにあるセキュリティに関する議論は、次の一文で締めくくられている。「セキュリティはプロセスであって、製品ではない。あと、ロブスターにシェルアクセスを信用してはいけない。」