Clawdbot / Moltbot：あなたのデジタル生活全体を露呈しかねない自律型AI執事

要約：

Clawdbot（最近Moltbotに改称）は、受動的な会話を超えて直接行動へと踏み出すよう設計された、自律型AIエージェントの新たな波の一部です。プロンプトに応答するだけの従来型AIチャットボットとは異なり、Clawdbotはシステムを操作し、ブラウザを制御し、メッセージを送信し、ワークフローをあなたの代わりに実行できます。このレベルの自動化は強力で魅力的である一方、脅威モデルを根本的に異なるものにします。 

Resecurityは、公開インターネット上で露出しているClawdbotのデプロイを数百件特定しました。その多くは認証が弱い、危険なデフォルト設定、または重大な誤設定のまま稼働していました。いくつかのケースでは、攻撃者がAPIキー、OAuthトークン、非公開のチャット履歴にアクセスでき、さらにはホストシステム上でリモートコマンド実行を得られる可能性もありました。

Clawdbot（Moltbot）の概要とアーキテクチャ

Clawdbot（Moltbotとも呼ばれる）は、典型的なAIチャットボットではありません。システム、メッセージングプラットフォーム、ワークフロー全体にわたってアクションを実行できる、高度に自律的なセルフホスト型AIアシスタント です。従来のチャットボットと異なり、Clawdbotはあなたの代わりに動作し、「考える」と「実行する」の間のギャップを埋めます。

全体アーキテクチャ

図の中心にはClawdbotがあり、赤いロブスターのアイコンで表現されています。これは自律型AIエージェントを象徴しています。

• メッセージング＆インターフェース層（左上）：
  ClawdbotはTelegram、WhatsApp、Signalなどの外部コミュニケーションプラットフォームに接続し、ユーザーが馴染みのあるチャットUIを通じてエージェントとやり取りできるようにします。
• ゲートウェイサーバー（上中央）：
  ゲートウェイサーバー は中央の入口として機能します。チャットプラットフォームからのコマンドやメッセージを受け取り、HTTP / WebSocket（WS） 接続を用いて内部へ転送します。
• LLM層（左）：
  ゲートウェイは次のような大規模言語モデル（LLM） と通信します。
  • 商用モデル（例：GPT、Claude）
  • オープンソースLLM
    これによりClawdbotは推論、計画、応答生成が可能になります。

• 実行＆アクセス層（右）：
  コアエージェントからは次の先へ矢印が伸びています。
  • ファイルシステムへのアクセス
  • ブラウザ制御
  • メールおよびAPI連携
    これは、Clawdbotの深いシステムレベル権限と自動化能力を示しています。

1. Clawdbot（Moltbot）とは？

Clawdbot （現在はMoltbotに改称）は、OS、ブラウザ、サードパーティサービス全体にわたり、ユーザーの代わりに行動するよう設計された高度に自律的なAIエージェント・プラットフォームです。

従来のチャット型アシスタントとは異なり、Clawdbotは次を備えた長時間稼働するエージェント として動作します。

• ホストへの直接シェルアクセス
• 認証済みセッションを用いたブラウザ自動化
• ファイルシステムの読み書き機能
• セッションをまたいだ永続的な状態とメモリ
• 外部プラットフォーム（メール、チャット、カレンダー、API）との深い統合

この自律性の高さは強力なワークフローを可能にしますが、適切なハードニングなしにデプロイすると大きな攻撃面 も生み出します。

2. ゲートウェイ

ゲートウェイ は外部に公開される入口であり、ユーザー（またはシステム）がClawdbotインスタンスとやり取りできるようにします。

通常、ゲートウェイは次を行います。

• 受信HTTP/WebSocketリクエストを受け付ける
• コマンドをエージェント実行環境へ転送する
• 認証、ルーティング、セッション処理を管理する

セキュリティの観点では、ゲートウェイは高価値ターゲットです。認証、レート制限、ネットワーク制限が欠けた公開ゲートウェイは、攻撃者に次を許す可能性があります。

• エージェントの列挙
• コマンドの発行
• 連携のトリガー
• 内部状態やログへのアクセス

誤設定されたゲートウェイは、実運用デプロイで観測される最も一般的な露出ポイントの一つです

3. 永続メモリ

永続メモリ とは、Clawdbotが再起動やセッションをまたいで情報を保持できる能力を指します。

このメモリには次が含まれる場合があります。

• ユーザーの好みや過去の文脈
• キャッシュされた認証情報やAPIトークン
• ワークフロー状態とタスク履歴
• 内部推論の成果物やログ

永続性は使い勝手と継続性を高める一方で、リスクも増大します。

• 侵害されたインスタンスは長期にわたる機微データを漏えいし得る
• メモリストアがファイルシステムやAPI経由でアクセス可能な場合がある
• 攻撃者が数週間〜数か月分の活動にまたがるインテリジェンスを抽出できる

永続メモリは保存時の機微データとして扱い、暗号化とアクセス制御を適用すべきです。

4. ハッチ

ハッチ は、Clawdbotインスタンスを初期化、ブートストラップ、または生成 するために用いられる仕組みです。

多くの場合、次を扱います。

• 環境セットアップ
• 設定の読み込み
• 認証情報の注入
• 初期のネットワーク露出

ハッチのプロセスが安全でない場合、攻撃者は次を得る可能性があります。

• 保護が適用される前の初期段階アクセス
• 設定シークレット
• エージェントを生成または複製する能力

ハッチの保護は重要です。なぜなら、エージェントのライフサイクルにおける最初の信頼境界 を表すからです。

5. プロアクティブなアウトリーチ

プロアクティブなアウトリーチ により、Clawdbotはユーザーからの直接プロンプトなしにアクションを開始できます。

例：

• メールやメッセージの送信
• カレンダーイベントのスケジューリング
• 外部トリガーへの応答
• 自動修復手順の実行

強力である一方、この機能は行動上のリスクをもたらします。

• 侵害されたエージェントが悪意ある行動を取れる
• 「想定された」自動化のため不正利用が見過ごされる可能性がある
• 外部連携が影響を増幅し得る

プロアクティブなアクションは厳密にスコープを限定し、ログ化し、監査可能にすべきです

6. Webhook

Webhook はイベント駆動のエンドポイントで、外部システムがClawdbot内のアクションをトリガーできるようにします。

一般的に次を可能にします。

• SaaSプラットフォームとの統合
• 自動化パイプライン
• システム横断のオーケストレーション

セキュリティ上の懸念：

• 認証なし、または保護が弱いWebhookエンドポイント
• リプレイ攻撃
• データ注入やコマンドトリガー

露出したWebhookはインターネットスキャンで頻繁に発見されるため、認証、検証、IP制限で保護すべきです。

7. スキル

スキル は、Clawdbotができることを拡張するモジュール型の能力パッケージです。

スキルが提供し得るもの：

• シェル実行
• ブラウザ自動化
• API操作
• ファイル操作
• メッセージング／通知ロジック

スキルは高い権限で動作することが多いため、実質的にシステムレベルアクセスを持つプラグインとして機能します。出来の悪いスキルや過度に許可されたスキルは次を招き得ます。

• 攻撃面の拡大
• セキュリティ制御の迂回
• 機微データの漏えい

スキル管理は最小権限の原則に従うべきです。

8. ロブスター

ロブスター はClawdbotエージェントそのもの、特にその自律性と永続性を象徴的に表したものです。

それが示すもの：

• バックグラウンド実行
• 長期にわたる制御
• 深いシステム統合

セキュリティの観点では、ロブスターの比喩は的確です。

• 到達範囲 （ファイル、ネットワーク、連携）を持つ
• 把持力 （認証情報、メモリ、トークン）を持つ
• 持久力 （継続運用）を持つ

適切に保護されていれば、ロブスターは強力なアシスタントです。
露出していると、攻撃者にとっての静かで永続的な足場 になります。

Clawdbotにできること

Clawd Bot（Clawdbot またはMoltbotとも呼ばれる）は単なるチャットボットではなく、あなたの代わりに実際の行動を実行できる個人向けの自律型AIアシスタント です。提案や回答しかできない標準的なAIモデルとは異なり、Clawd Botは考えることと実行することのギャップを埋め、システム、メッセージングプラットフォーム、ワークフローと深く統合します。

1. リモートコマンド実行

空港、自宅、オフィスなど世界中どこからでもコマンドを発行でき、それをあなたのデバイスやサーバー上で実行します。これにはスクリプトの実行、タスクの自動化、アプリケーションとのリアルタイムな対話が含まれます。

2. 完全なプライバシーと制御

Clawd Botはローカルで動作するよう設計されており、すべてのデータをデバイス上に保持します。クラウドベースAIとのやり取りは、明示的に接続しない限り限定されます。完全オフラインのAIモデルを動かすこともでき、機微情報がマシン外へ出ないことを保証できます。

3. マルチモデル互換

次を含む、事実上あらゆるAIモデルで動作します。

• Claude
• ChatGPT
• Gemini
• Minimax
• Qwen
• DeepSeek
  …など。こうした柔軟性により、ワークフローに最適なAIモデルを選べます。

4. 永続メモリ

Clawd Botの最も強力な機能の一つが長期記憶で、次を可能にします。

• 文脈と過去のやり取りの理解
• 過去のコマンド、目標、ワークフローの記憶
• セッションをまたいだ継続性の維持
• あなたが眠っている間のタスク自動化

5. タスク自動化

Clawd Botは幅広い現実世界のアクションを実行できます。

• ブラウザを開き、Webサイトを移動し、操作を自動実行する
• フォームや申請の入力（例：Gmailアカウント作成、求人応募の送信）
• ローカルファイルの読み取り、書き込み、管理
• Windows、macOS、LinuxでOSコマンドを実行
• カレンダーイベント、リマインダー、定期タスクのスケジュール
• 要するに、想像できるほぼあらゆるタスクを自動化できる

6. 拡張可能なスキル＆プラグイン

Clawd Botは100以上のプラグインとスキル をサポートし、利用状況から学習してより効率的にタスクを実行できます。新しいプラグインはいつでも追加でき、能力を無限に拡張できます。

7. プロアクティブな対話

ユーザー入力を待つ従来のAIと異なり、Clawd Botは自らコミュニケーションを開始 できます。次が可能です。

• リマインダー、通知、朝のブリーフィングの送信
• Telegram、WhatsApp、Signal、iMessageなどのメッセージングアプリ経由での通信
• 反応的なツールではなく、真のパーソナルアシスタントとして機能

Clawd Botの仕組み

Clawd Botは、デプロイが容易 でありながら、内部では非常に柔軟で強力 であるよう設計されています。AIの推論と現実世界の実行を橋渡しし、デバイスやプラットフォームをまたいでシームレスにタスクを自動化できます。

主な機能：

• ワンコマンドインストール
  単一コマンドでClawd Botをインストールし、ガイド付きセットアップに従って完全にデプロイするまで進められます。
• クロスプラットフォーム対応
  Windows、macOS、Linuxを含む主要OSすべてで動作します。
• 柔軟なAIモデル統合
  クラウド型でも完全ローカルでも、好みのAIモデルに接続でき、知能処理をどこでどのように行うかを完全に制御できます。
• マルチチャネル対話
  次を通じて通信・コマンド発行が可能です。
  • 連携メッセージングプラットフォーム：WhatsApp、Telegram、Discord、Slack、Signal、iMessageなど
  • 内蔵のWebベースユーザーインターフェース（UI）
• 永続的なバックグラウンド実行
  デバイスの電源が入っている限りバックグラウンドで継続稼働し、長時間タスク、スケジュールジョブ、自動化ワークフロー を中断なく実行します。
• 自律通知＆アクション
  通知、リマインダー、メール、アラートを送信でき、通常は手動で行う作業をより賢く自動化された方法で実行します。

セルフホストとは？

「セルフホスト」とは、Clawdbotが外部クラウドサービスに依存するのではなく、完全にあなた自身のデバイスまたはサーバー上で動作することを意味します。この設計はユーザーに完全な制御を与える一方、責任も伴います。

セルフホスティングの主な特徴

1. データのプライバシー＆制御
   • 会話ログ、認証情報、連携はすべてあなたのハードウェア上に留まります。
   • 連携を明示的に設定しない限り、外部クラウドサーバーへデータは送信されません。
2. カスタマイズ性
   • 接続するAIモデル（Claude、GPT、またはオープンソースモデル）を選べます。
   • 連携はカスタマイズ可能：Slack、WhatsApp、Gmail、カレンダー、またはブラウザ自動化。
   • プラグインや「スキル」により、特定のワークフロー向けに機能を拡張できます。
3. オフライン機能
   • AIモデルと連携内容によっては、一部機能がインターネットなしで動作します。
   • 機微な環境やプライベートなワークフローに有用です。

セルフホストの問題とは？

Clawdbotのセルフホストという性質 — 自分のコンピュータやサーバー上で完全に動作すること — は諸刃の剣です。完全な制御とプライバシーを提供する一方で、固有のセキュリティリスクも生み出します。これはしばしば「セルフホストの問題」と呼ばれます。

なぜ問題なのか

1. セキュリティに対するユーザー責任
   • クラウドベースAIと異なり、インスタンスを保護する組み込みのエンタープライズセキュリティ がありません。
   • ネットワークアクセス、認証、ファイアウォールルール、プラグイン権限の保護はあなたの責任です。
   • 誤設定により機微データが露出したり、不正アクセスを許したりします。
2. 露出したゲートウェイ
   • セルフホストのClawdbotインスタンスは、しばしばWebベースの制御ゲートウェイを稼働させます。
   • 不適切に設定されていると、これらのゲートウェイが公開アクセス可能となり、攻撃者にエージェントと接続サービスの完全な制御を与えかねません。
3. 完全なシステム権限
   • Clawdbotが効果的に機能するには、ファイル、ブラウザセッション、メッセージングプラットフォーム、APIへの広範なアクセスが必要です。
   • セルフホスト環境では、これは侵害されたインスタンスがシステム全体に影響し得ることを意味します。
4. 認証情報の保存と永続メモリ
   • APIキー、OAuthトークン、チャット履歴はローカルに保存されます。
   • ホストへのアクセスを得た攻撃者は、単一点からすべての機微データを収集 できます。
5. 連携リスク
   • セルフホストのエージェントはSlack、Gmail、WhatsApp、X、カレンダーと直接統合します。
   • 侵害されると、統合されたすべてのサービスが潜在的に危険となり、侵害の被害が増幅します。

セキュリティの話をする前にアーキテクチャが重要な理由

特定の脆弱性や露出インスタンスに踏み込む前に、Clawdbotが実際にどのような種類のシステムなのかを理解することが重要です。

Clawdbotは典型的なチャットボットやSaaS型AIアシスタントではありません。次を組み合わせた高度に自律的なエージェント です。

• 直接的なシステムアクセス
• 永続メモリ
• 長期にわたる認証情報
• メッセージング、メール、APIにまたがる外部連携
• 人間の承認なしにプロアクティブに行動する能力

このアーキテクチャは脅威モデルを根本的に変えます。

従来のアプリケーションでは、単一の誤設定が露出させるのは限定的なデータや機能に留まることが多いです。対照的に、露出したClawdbotインスタンスは、認証情報、会話履歴、システムアクセス、自動化ロジックを一つの継続稼働プロセスに集約する集中型の制御ハブ として機能し得ます。

ゲートウェイ、メモリ、スキル、自律実行レイヤーがどのように相互作用するかを理解することは、一見小さな設定ミスが過大なセキュリティ影響を持ち得る理由を理解するうえで不可欠です。

次のセクションでは、インターネット上で観測された公開露出Clawdbotデプロイに基づき、これらのアーキテクチャ特性が現実世界のリスクへどのように変換されるかを検証します。

Shodan：Clawd Botの攻撃面をマッピングする

Clawd Bot（Moltbot）の現実世界での露出 を理解するうえで、Shodanはゲームチェンジャーです。

ShodanはIoT向けの検索エンジンのようなもので、公開IPv4アドレスを継続的にスキャンし、開放ポート、サービスバナー、Webインターフェースをインデックス化します。つまり、露出したClawd Botインスタンスは、所有者が公開する意図がなくても、ほぼ即座に発見され得るのです。

Clawd Botのデプロイはしばしば次を露出します。

• 連携、認証情報、タスクを管理するためのWebベースの制御UI 
• エージェントが使用するHTTP/HTTPSゲートウェイ 
• 予測可能なポートと識別可能なページヘッダー

Shodanにインデックス化されると、攻撃者はIPレンジをスキャンしたりポートを推測したりする必要がなく、既知のフィンガープリントを直接検索できます。Clawd Botの永続ランタイム、完全なシステム権限、認証情報へのアクセスと組み合わさることで、些細な誤設定でさえ高リスクな侵入口になります。

これまでのShodanインデックスに基づくと、1,849件を超えるClawd Bot関連インスタンスが観測可能であり、ある時点で公開到達可能だった実運用デプロイを反映しています。これらは侵害が確認されたものではなく、露出の被害者と見なすべきで、しばしば次に起因します。

• 忘れ去られたVPSデプロイ
• オンラインのまま放置されたテスト／ラボ環境
• 適切に保護されていないセルフホスト設定

概念実証（PoC）

PoC 1：認証なしのゲートウェイアクセス

ClawdbotのHTTPゲートウェイインターフェースは、認証なしでアクセス可能でした。ゲートウェイエンドポイントへアクセスすると、管理ダッシュボードが正常に読み込まれ、運用情報が表示されました。

PoC 2: 認証なしの設定エンドポイント露出

ゲートウェイUIに加えて、設定関連のエンドポイントが認証なしでアクセス可能でした。これらのエンドポイントは内部アプリケーション設定とランタイムメタデータを露出します。

PoC 3：認証なしのログエンドポイント露出

ログ関連のエンドポイントが認証なしでアクセス可能でした。これらのエンドポイントは、アクセス制限なしにアプリケーションログとランタイムのログデータを露出していました。

ログデータには次が含まれる可能性があります。

• 運用イベント
• エラーメッセージ
• 実行トレース

PoC 4：Soul.mdへの不正アクセス

認証なしのゲートウェイインターフェースを使用して、cat Soul.md コマンドを発行することでSoul.mdファイルを直接読み取ることが可能でした。

Clawdbotでは、Soul.mdは運用者がエージェントの人格、指示、行動制約、有効化された能力を定義するために用いる慣例です。このファイルは実質的にエージェントのシステムプロンプトとして機能し、エージェントがどのように考え、応答し、動作するかを規定します。

PoC 5：envコマンドによる平文環境変数の開示

認証なしでコマンド実行が可能になった後、envコマンドを実行しました。このコマンドは稼働中サービスの環境変数一式を返しました。

応答には、平文で保存された複数の機微値が含まれていました。例：

• APIキー
• サービストークン
• 内部設定シークレット

Clawdbot / Moltbot：セキュリティ脆弱性の完全内訳

1. 公開インターネット上に露出したゲートウェイ

説明：多くのClawdbotゲートウェイサービスが公開インターネットに直接露出しています。多数のケースで、これらのゲートウェイは認証なしでアクセス可能であり、発見した誰もが制御インターフェースとやり取りできてしまいます。

リスク：攻撃者は保存された認証情報にアクセスし、シェルコマンドを実行し、ブラウザを制御し、メールやカレンダーを読み取り、ユーザーになりすましてメッセージを送信できます。これは不正な第三者に完全なエージェント制御を与えることに等しいです。

2. 過度に緩いダイレクトメッセージ（DM）ポリシー

説明：デフォルトのメッセージングポリシーでは、十分な検証やアクセス制御なしに任意のユーザーからのやり取りを許可します。

リスク：不正ユーザーがコマンドを発行したり、情報を取得したり、エージェントの挙動を操作したりでき、悪用やデータ漏えいの可能性が高まります。

3. デフォルトでサンドボックスが無効

説明：プラグインおよびスキルの実行環境には、デフォルトでサンドボックスや分離メカニズムがありません。

リスク：悪意ある、または侵害されたプラグインが、完全なシステム権限で任意コードを実行し、ファイルの読み取り／改変、認証情報へのアクセス、外部通信を制限なく行えます。

4. 認証情報が平文で保存される

説明：OAuthトークン、APIキー、その他の機微な認証情報が平文の設定ファイルに保存されます。

リスク：ホストシステム、バックアップ、またはログが侵害されると、攻撃者は容易に認証情報を収集し、サードパーティサービスへのアクセスに再利用できます。

5. Webコンテンツ経由のプロンプトインジェクション

説明：Clawdbotは外部Webコンテンツを処理し、それを推論や実行のための信頼できる入力として扱う可能性があります。

リスク：攻撃者は悪意あるコンテンツを作成してエージェントへ指示を注入し、データ流出やコマンド実行など意図しない行動を引き起こす可能性があります。

6. 危険なコマンドが適切に制限されていない

説明：一部の設定では、システムレベルのコマンドが十分に制限／フィルタリングされていません。

リスク：攻撃者が破壊的または機微なコマンドをトリガーし、データ損失、システム侵害、サービス妨害につながる可能性があります。

7. ネットワーク分離の欠如

説明：Clawdbotインスタンスは通常、送受信ともに制限のないネットワークアクセスで動作します。

リスク：侵害されたエージェントが攻撃者管理サーバーと自由に通信し、データを流出させたり、内部ネットワークへピボットしたりできます。

8. ツール／スキル権限の過剰

説明：スキルやツールがホストシステム上で昇格権限または管理者権限で動作することがよくあります。

リスク：単一スキルの悪用でシステム全体が乗っ取られ、システムファイルの改変やマルウェアのインストールに至る可能性があります。

9. 監査ログの欠如

説明：多くのデプロイでは、エージェントのアクション、コマンド、アクセスイベントの包括的なログが有効化されていません。

リスク：セキュリティインシデントが検知されない可能性があり、侵害後のフォレンジック分析が困難または不可能になります。

10. 弱い／デフォルトのペアリングコード

説明：ペアリング機構が弱い、デフォルト、または推測しやすいコードに依存しています。

リスク：攻撃者がユーザーに気付かれずに不正なクライアントやデバイスをエージェントへペアリングし、永続的なアクセスを得られます。

11. OAuthトークン保護の不十分さ

説明：OAuthのアクセストークンとリフレッシュトークンが保存時に暗号化されておらず、追加の保護層も欠けています。

リスク：トークン窃取により、攻撃者はユーザーになりすまし、初回侵害の後も長期間にわたり外部サービスへアクセスできます。

12. OAuthフローにおけるCSRF保護の欠落

説明：OAuth実装がstateパラメータの堅牢な検証を欠き、CSRF保護が弱まっています。

リスク：攻撃者が認証フローを操作し、自身のアカウントやトークンを被害者エージェントに紐付ける可能性があります。

13. ハードコードされたOAuthクライアントシークレット

説明：OAuthクライアントシークレットが、エンコードされているものの復元可能な形式でソースコードに直接埋め込まれています。

リスク：コードベースにアクセスできる者は誰でもシークレットを復元し、OAuth連携を悪用できます。

14. 信頼できないプラグインコードの実行

説明：プラグインが整合性チェック、サンドボックス、署名検証なしに動的にロードされ実行されます。

リスク：悪意あるプラグインがメモリ、認証情報、ファイル、システムリソースへ制限なくアクセスできます。

15. メッセージングプラットフォームデータの無断共有

説明：メッセージングプラットフォームの個人データ（メッセージ内容、識別子、メタデータなど）が、明示的なユーザー同意なしに外部AIプロバイダへ転送される可能性があります。

リスク：これはプライバシー侵害と、特に機微な法域における規制不遵守の可能性を生みます。

16. Webhook署名検証のバイパス

説明：Webhookエンドポイントで、設定フラグにより署名検証を無効化できる場合があります。

リスク：攻撃者が偽造Webhookリクエストを送信し、認可なしにエージェントのアクションをトリガーできます。

17. コードベースにおける多数のセキュリティ指摘

説明：包括的な監査により、シークレット漏えいや脆弱な依存関係を含む数百件のセキュリティ指摘が特定されています。

リスク：累積効果により攻撃面と悪用可能性が大幅に増大します。

18. リバースプロキシ認証バイパス

説明：認証ロジックがローカル接続を信頼しており、リバースプロキシ配下でのデプロイ時に悪用され得ます。

リスク：外部リクエストが信頼済みとして扱われ、攻撃者が認証を完全に回避できる可能性があります。

19. 永続メモリの露出

説明：Clawdbotは会話履歴、運用コンテキスト、認証情報を含む長期記憶を保存します。

リスク：侵害されると、攻撃者は膨大な履歴データへアクセスでき、プライバシー／セキュリティ影響が増大します。

20. プロアクティブなエージェント能力の悪用

説明：エージェントは明示的なユーザープロンプトなしに独立してアクションを開始できます。

リスク：侵害されたエージェントが、ユーザーに気付かれずに自動でメッセージ送信、データ漏えい、タスク実行を行えます。

21. root／管理者権限での運用

説明：一部のデプロイではClawdbotを完全な管理者権限で実行しています。

リスク：悪用に成功すると、永続化や水平展開（ラテラルムーブメント）を含む完全なシステム侵害に至ります。

22. サービス横断のデータ漏えい

説明：Clawdbotはメール、カレンダー、メッセージングプラットフォーム、APIなど複数サービスへのアクセスを集約します。

リスク：単一の侵害で複数プラットフォームにまたがるデータが露出し、影響が劇的に増幅します。

Clawdbot（Moltbot）を安全かつ効果的に利用するための推奨事項

1. ゲートウェイとインターフェースのハードニング

• Webベースの制御UIおよびHTTP/HTTPSゲートウェイは、絶対に必要な場合を除き公開アクセス可能にしない でください。
• 強力な認証方式、できれば多要素認証（MFA）を使用してください。
• ネットワーク制限を適用してください：ファイアウォールルール、VPNアクセス、またはリバースプロキシ。

2. ローカルまたは信頼できるAIモデルを使用

• 不要なクラウド露出を避けるため、AIモデルはローカルでの実行を優先してください。
• クラウドベースモデルを使用する場合は、APIキーを安全に保管し暗号化してください。

3. プラグインとスキルの保護

• 信頼できるソースからのプラグイン／スキルのみをインストールしてください。
• 可能な限りサンドボックス または権限の制限を適用してください。
• 権限昇格を避けるため、スキル権限を定期的に監査してください。

4. 機微データの暗号化

• 認証情報、OAuthトークン、永続メモリは暗号化形式で保存してください。
• ファイルシステム権限を用いて、機微ディレクトリへのアクセスを制限してください。

5. 永続メモリの監視

• Clawdbotのメモリを機微データとして扱ってください。
• 保存されたコマンド、ワークフロー、連携トークンを定期的にレビューしてください。
• 機微データに対して自動クリーンアップや保持ポリシーを設定してください。

6. プロアクティブなアクションの制限

• Clawdbotが行うプロアクティブなアクションは、厳密に必要なものに限定するよう設定してください。
• 監査可能性のため、すべての自動イベントをログ化してください。
• 重要なシステム機能に影響し得るワークフローに、完全な管理者アクセスを与えることは避けてください。

7. 定期的なセキュリティ監査

• コードおよびデプロイ監査を定期的に実施してください。
• Shodan などのツールや内部スキャンを用いて露出エンドポイントを確認してください。
• プラグイン、依存関係、Clawdbotコアソフトウェアの既知脆弱性にパッチを適用してください。

8. ネットワーク分離

• Clawdbotは分離または仮想化された環境（VPS、VM、またはコンテナ）で実行してください。
• 主要ワークステーションや重要サーバーをインターネットへ直接露出させないでください。

9. 最小権限の原則に従う

• Clawdbotには必要最小限のアクセスのみを付与してください。
• 絶対に必要でない限り、rootや管理者として実行しないでください。
• タスク要件に基づき、ファイルシステム、ネットワーク、APIアクセスを制限してください。

10. バックアップ＆リカバリー

• Clawdbotの設定と永続メモリを定期的にバックアップしてください。
• バックアップは侵害を防ぐため、暗号化して安全に保管 してください。

結論

Clawdbotは前例のない自動化と利便性を提供しますが、重大なセキュリティ上のトレードオフを伴います。セルフホストのアーキテクチャ、深いシステム統合、自律的な挙動は、固有の脅威モデルを生み出します。ユーザーと開発者は次を行う必要があります。

• ゲートウェイとWebインターフェースのハードニング
• 認証情報の暗号化と安全な保管
• スキル／プラグイン権限の制限
• 永続メモリとログの監視
• リバースプロキシとファイアウォールのベストプラクティス適用

Clawdbotは有能な執事のようなものです。能力があり、自律的で、役に立つ — ただし扉が施錠されている場合に限ります。誤設定や露出したインスタンスは、そのアシスタントを攻撃者のための永続的な足場へと変えてしまいます。