語尾がYで終わる曜日の日だ。つまりこういうことだ:またしてもOpenClawのサイバーセキュリティ災害。
今回は、SecurityScorecardの脅威インテリジェンスチームSTRIKEが、インターネットに露出したOpenClawインスタンスを大量に発見したとして警鐘を鳴らしている。執筆時点でその数は13万5,000超。バイブコーディングされたAIアシスタント・プラットフォームに以前から知られている脆弱性や、過去の侵害との関連と合わせて、STRIKEはオープンソースAIエージェント領域におけるシステム的なセキュリティ破綻だと警告している。
「我々の調査結果は、規模の大きい自動化が不十分なセキュリティのまま運用されることで生じた、巨大なアクセスおよびアイデンティティの問題を明らかにしている」とSTRIKEチームは、月曜日に公開した報告書で記した。「利便性重視の導入、デフォルト設定、弱いアクセス制御が、強力なAIエージェントを攻撃者にとって高価値の標的へと変えてしまった」。
Clawdbot、えーとMoltbot、いや待てOpenClaw(名前がころころ変わる)という一連の騒動をご存じない方のために説明すると、これはオープンソースの、バイブコーディングされたエージェント型AIプラットフォームで、率直に言ってセキュリティを気にする人にとっては目も当てられない災厄だった。ユーザーがボット用の拡張機能を見つけられるOpenClawのスキルストアは、悪意あるソフトウェアだらけだ。ここ数週間で3件の高リスクなCVEが同プロジェクトに割り当てられており、さらに、さまざまなスキルが容易に破られてAPIキー、クレジットカード番号、PII(個人を特定できる情報)、その他サイバー犯罪者にとって価値のあるデータを吐き出させられるとも報告されている。
すでに脆弱なそれらのインスタンスを大量に用意し、しかもインターネットへの自由なアクセスを与えてしまえば――STRIKEが世界中で起きていると発見したように――問題は瞬く間に増幅する。
STRIKEによる問題の要約ですら実態を言い尽くしていない。というのも、本稿公開の数時間前に報告書が出て以降、同社のライブOpenClaw脅威ダッシュボード上で、特定された脆弱システムの数が急増しているからだ。
前述のインターネットに面したOpenClawインスタンス13万5,000超――この数字は執筆時点のものだが、STRIKEが本日早くに報告書を公開した時点では4万強にすぎなかった。STRIKEはまた、既知で既に修正済みのリモートコード実行バグに対して脆弱だったOpenClawインスタンスを12,812件発見したとも述べている。執筆時点では、RCE脆弱インスタンスの数は5万超に跳ね上がっている。過去に報告された侵害(必ずしも関連とは限らない)に紐づいていたとして検出されたインスタンス数も、549から5万3,000超へと急増しており、既知の脅威アクターのIPに関連付けられたインターネット露出OpenClawインスタンス数も同様に増えている。
要するに、これはまさに進行中の大惨事にほかならない。安全性をほとんど顧みずに、突然人気になったAIツールがバイブコーディングで生み出されたことが原因だ。コードベースやユーザーの安全への配慮は乏しかった。
とはいえ、ユーザー側にも少なくとも一部の責任がないわけではない。OpenClawのデフォルトのネットワーク接続設定のされ方を見てほしい。
「初期状態のままでは、OpenClawは`0.0.0.0:18789`にバインドされる。つまり、パブリックインターネットを含むすべてのネットワークインターフェースで待ち受ける」とSTRIKEは指摘した。「これほど強力なツールなら、デフォルトは`127.0.0.1`(localhostのみ)であるべきだ。そうなっていない」。
STRIKEは、少なくともすべてのOpenClawユーザーに対し、直ちにそのバインド先をlocalhostに変更するよう推奨している。ただしそれとは別に、SecurityScorecardの脅威インテリジェンス/リサーチ担当VPであるJeremy Turnerは、システムの欠陥の大半はユーザーがデフォルト設定に注意を払わなかったせいではない、ということを知っておいてほしいとしている。TurnerはメールでThe Registerに対し、OpenClawの問題の多くは設計上のもので、性質上システム変更を行い、追加サービスをWebに公開するよう作られているためだと述べた。
「これは、作業を手伝ってもらうために、見ず知らずの人にあなたのコンピューターへのアクセスを与えるようなものだ」とTurnerは言う。「監督し検証すれば、とても助けになる。だが、ただ立ち去って『今後の指示はすべてメールかテキストメッセージで届く』と言ってしまえば、誰からの指示でも実行してしまうかもしれない」。
STRIKEが指摘したように、OpenClawインスタンスが侵害されるということは、そのエージェントがアクセスできるものすべてへのアクセスを許すことを意味する。資格情報ストア、ファイルシステム、メッセージングプラットフォーム、Webブラウザ、あるいはユーザーについて収集された個人情報のキャッシュなどだ。
そして、露出しているOpenClawインスタンスの多くが家庭用システムだけでなく組織のIPアドレスから来ていることを踏まえると、これはAIをいじっている個人だけの問題ではない点を指摘しておくべきだ。
Turnerは、特に組織の文脈ではOpenClawを信用すべきではないと警告する。
「これをどう統合するかは慎重に検討し、仮想マシンや別システムでテストして、データとアクセスを慎重に考慮しながら制限してください」とTurnerは説明した。「身元盗用の前科があり、コードは上手いが、誰の指示でも受けかねない労働者を雇うようなものだと考えてください」。
とはいえ、Turnerは個人や組織に対して、OpenClawのようなエージェント型AIを完全に捨て去れと主張しているわけではない。脆弱性だらけの、潜在的に革命的な新技術製品を導入する際には、警戒しリスクを考慮してほしいだけだ。
「こうした新しい能力はどれも信じられないほど素晴らしく、研究者たちはこれら新技術へのアクセスを民主化した功績で大いに称賛されるべきだ」とTurnerは我々に語った。「海に飛び込む前に泳ぎ方を学べ」。
あるいは、そもそも近づかないことだ――海は恐ろしい。 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/02/09/openclaw_instances_exposed_vibe_code/
