Clawdbot、いやMoltbot、いやOpenClawは、企業にとって即座のサイバーセキュリティ悪夢となる可能性があります。ここでは、その危険性と、会社のデータへの不注意なアクセスを防ぐために考慮すべきこと、または制御された環境で実験する方法について説明します — もしあなたがあえて挑戦するのであれば。
OpenClawとして知られる新しい個人AIエージェント統制ツール — 以前はClawdbot、その後Moltbot — は、個人的な監督なしにタスクを実行できる個人アシスタントです。デバイス間で動作し、オンラインサービスと対話し、ワークフローをトリガーできます — Githubリポジトリが過去数週間で数百万回の訪問と16万以上のスターを獲得したのも不思議ではありません。
開発者によると、OpenClawのリポジトリは1週間で200万人以上の訪問者があり、約170万のエージェントが人間の所有者によってMoltbookソーシャルメディアプラットフォームに登録されており、そこで彼らの人間についてのゴシップを共有しています。執筆時点で、エージェントは約25万件の投稿に対して700万近いコメントを行っています。そして、OX Securityのセキュリティ研究者によると、OpenClawのダウンロード数は現在週72万件に達しています。
OpenClawがこれほど魅力的である理由は、ローカルで実行され、バックエンドで任意のLLMを使用するように構成でき、WhatsApp、Telegram、Discord、Slack、Teamsなど、ユーザーがすでに使用しているチャットアプリを介してユーザーと対話し、すべての主要なオペレーティングシステム、多くの異なるスマートホームデバイス、生産性アプリ、ChromeとGmail、その他多くとの事前構築された統合を持っているためです。
これがAIエージェントがあるべき姿です。そして無料でオープンソースです。何が嫌いになる理由があるでしょうか?
「魅力は非常に素晴らしいです」と、Binary DefenseのJohn Dwyer副CTOは言います。「私たちは25年間、アイアンマンのJarvisのようなAIアシスタントを映画で見てきました。AIに対するこの具体的な価値の追加には魅力があります。そしてとても使いやすいです。もしこれが本質的に安全でなかったら、私は使いたいと思うでしょう。」
OpenClawのサイバーセキュリティリスク
「これを実行する問題は、これらのツールが基本的にユーザーができることは何でもできることです」と、Cloud Security AllianceのチーフアナリストであるRich Mogullは言います。「しかし、外部から制御されています。企業にとって、これは高リスクとなる可能性があります。その周りに設置できるガードレールはいくつかありますが、それらは新しく、未証明であり、すでに研究者によって回避されています。」
彼の推奨: CISOはその使用を完全に禁止すべきです。
「私は週末に自分で実験するのを楽しみにしています」とMogullは言います。「しかし、現時点でそれを許可すべきではありません。答えは『ノー』でなければなりません。セキュリティモデルがありません。」
そして時間を無駄にする余裕はありません。Tokenは、1週間の分析の過程で、顧客の22%が組織内でこのツールを積極的に使用している従業員がいることを発見したと報告しています。
その影響は即座の技術的リスクを超えて広がります。「企業にとって、これはデータ機密性侵害による罰金、訴訟、顧客やパートナー間での評判の損害への露出を意味する可能性があります」と、ABI ResearchのアナリストであるGeorgia Cookeは言います。これには、GDPRの違反や類似のPII管理規則につながる可能性のある個人データ、およびNDA下の企業情報が含まれます。その他のリスクには、知的財産の露出による競争上の損害や、技術情報および資格情報の露出によるさらなる攻撃の可能性が含まれます。
セキュリティ研究者のMaor DayanはOpenClawを「ソブリンAI史上最大のセキュリティインシデント」と呼びました。彼の研究は、インターネット上で42,000以上のインスタンスが露出されていることをすでに発見しており、検証されたインスタンスの93%が重大な認証バイパス脆弱性を示しています。
Dayanによると、OpenClawの初期バージョンはデフォルトで安全ではなく、急速なバイラル採用がユーザーのセキュリティ意識を圧倒し、多くの展開が急速に放棄され、古いコードを実行しているインスタンスが残されました。文書化された攻撃経路により、資格情報の盗難、ブラウザ制御、潜在的なリモートコード実行が可能になります。
1月下旬、Gartnerの研究者は、OpenClawが「エージェントAIに対する強い需要を明らかにするが、主要なセキュリティリスクを露出する」と述べました。Gartnerによると、展開から数時間以内にリモートコード実行を許可する脆弱性がすでに実証されています。ClawHubスキルマーケットプレイス — OpenClawによると、エージェントがより正確かつ効率的に物事を行うために発見して使用できる指示、スクリプト、リソースのフォルダー — は重大なサプライチェーンリスクをもたらします。そして、資格情報はプレーンテキストで保存され、侵害されたホストはAPIキー、OAuthトークン、機密性の高い会話を露出します。
「AIエージェントには、構成ファイルにトークンとシークレットがあることがよくあります」と、OktaのJeremy Kirk脅威インテリジェンスディレクターは言います。「ユーザーがそれらを誤って構成している場合、すべてが露出されます。企業のコンテキストでは、それは良くありません。」
次に、Noma Securityは、OpenClawに関連する新しいセキュリティブラインドスポットを発見しました: 企業のDiscord、TelegramまたはWhatsAppグループです。OpenClawをユーザーにとって非常に魅力的にするものの1つは、複数のチャネルを介してそれと対話できることです。しかし、OpenClawがこれらのチャネルの1つの一部であり、そのチャネルに他のユーザーがいる場合、それらの他のユーザーからの指示を、自分の所有者からの指示であるかのように扱います。
攻撃者がOpenClawエージェントがインストールされている公開Discordサーバーに参加すると、攻撃者はボットにcronジョブを実行し、トークン、パスワード、APIキー、暗号シードフレーズのためにローカルファイルシステムをクロールするよう指示できます。
「30秒以内に、エージェントは機密データをバンドルし、攻撃者が制御するサーバーに直接送信します」とNomaの研究者は言います。企業のセキュリティチームにとって、ボットは正常に機能しているように見え、盗まれた資格情報が武器化されるまで侵害は検出されません。「ソーシャルメディアチームや外部請負業者がClawdbotのような自律エージェントを展開すると、彼らは事実上、企業インフラストラクチャに接触するローカルマシンへの永続的で監視されていないバックドアを開いています。」
そして、従業員が自宅の個人マシンでOpenClawを実行する場合でも、OpenClawはセキュリティリスクです。なぜなら、ブラウザコントロールやスキルを介してユーザー資格情報を通じて企業アプリケーションにアクセスできる可能性があるためです。
セキュリティリスクは日ごとに悪化し続けています。OX Securityの研究者によると、OpenClaw周辺の開発者コミュニティも大きな負債です。このプロジェクトはvibe-codedな提出を受け入れており、これは開発を加速しますが、重大なセキュリティリスクももたらします。OS研究者は、コードベースで複数の安全でないコーディングパターンを発見したと述べており、これらのパターンはリモートコード実行、パストラバーサル、DDoS、クロスサイトスクリプティング攻撃につながる可能性があります。
「十分なガードレールがありません」と研究者は言います。彼らはまた、GitHubでバグレポートが開示されている複数のインスタンスを発見しました。メンテナへのプライベートメッセージではなく。問題が公開されると、「攻撃者に研究や侵入テストを行わなくても脆弱性の知識を迅速に得る機会を与える」と彼らは書いています。
傷口に塩を塗るように、正式なセキュリティパッチと更新プロセスもなく、ほとんどのユーザーは更新せず、最初にダウンロードしたバージョンにとどまっています。
そして、スキルもあります。セキュリティ研究のPaul McCartyは、OpenClawプラットフォームの中央リポジトリであるClawHubで約400の異なる悪意のあるスキルを特定しました。これらのスキルは、暗号通貨取引、LinkedInの求人応募、YouTubeビデオのサムネイルのダウンロードなどのタスクを支援すると主張しています。一部は数千のダウンロードがあり、ClawHubで最もダウンロードされたスキルの1つです。しかし、実際には、ユーザーをだましてマルウェアをインストールさせます。
悪意のあるスキルをOpenClawエコシステムに入れることがいかに簡単かを実証するために、セキュリティ研究者のJamieson O’Reillyは独自のものを構築し、そのダウンロード数を人為的に4,000以上に膨らませ — プラットフォームで最もダウンロードされたスキルにし — 7つの異なる国の開発者が本物のスキルをダウンロードしたと思い込んで、自分のマシンで任意のコマンドを実行するのを観察しました。
「これは概念実証であり、何が可能かの実証でした」と彼は書いています。「もっと悪意のない誰かの手にあれば、それらの開発者は何かが間違っていることを知る前に、SSHキー、AWS資格情報、コードベース全体が流出していたでしょう。」
OpenClawは企業のセキュリティギャップを露出する
このOpenClaw状況全体の最初の大きな教訓は、企業がセキュリティの基本を整備するためにもっと多くのことをする必要があるということです。なぜなら、どこかにギャップがある場合、それらは今や前例のないペースで発見され悪用されるからです。OpenClawの場合、これはユーザー権限を最小限に制限し、すべてのアカウントに多要素認証を持ち、その他の基本的なセキュリティ衛生を整備することを意味します。
これはOpenClawの問題を解決しません — そして今後登場するすべての他のエージェントAIプラットフォームの問題も — しかし、露出リスクを制限し、侵害があったときの爆発半径を減らすのに役立ちます。
そして、企業がOpenClawに関連する危険を制限するために取ることができるステップがあると、IEEEシニアメンバーのKayne McGladreyは言います。まず、企業はネットワークレベルのテレメトリを見ることができます。「デバイスから出てくるネットワークトラフィックは何ですか?」とMcGladreyは尋ねます。「このものは突然、急速にたくさんのAIを使用していますか? トークン使用量に大規模なスパイクが起こっていますか?」
組織はまた、Shodanのようなツールを使用して、公開アドレス可能なインスタンスを見つけることができると彼は付け加えますが、内部ファイアウォール構成が他のものを隠す可能性があります。
そして、完全な禁止ではなく実験を許可したい組織のために、彼は慎重なアプローチを提案します。「それに興味のあるユーザーのために、段階的パイロットプログラムについて話し合う必要があります。」たとえば、ユーザーは、内部システムから分離するセグメンテーションルールを持つ管理されたエンドポイントでOpenClawを実行することを許可され、強力なテレメトリとエージェントアクティビティ、アウトバウンドトラフィック、異常な動作のアラートの継続的な監視とともに許可される可能性があります。
OpenClawはこれから起こることの兆候です
OpenClawはユニークではありません。
それはバイラルですが、潜在的に信頼できないエージェントの手に同様の量の力を与える他の多くのツールが開発中です。
AnthropicのClaude Coworkのように、人のコンピューターとブラウザーを制御できるAIプラットフォームがあります。ChromeのGeminiのように、ブラウザーに座ってユーザーセッションにアクセスできるエージェントがあります。そして、多数のコパイロット、およびSalesforceのような企業からのエージェントツールがあります。
これらのエージェントプラットフォームは、主要なベンダーから来る場合、通常、機能が制限され、厳重にガードレールされ、合理的によくテストされているため、最大のセキュリティ問題が明るみに出るまでには時間がかかる可能性があります。
それでも、彼らはしばしば、信頼できないソースからのサードパーティのスキルに依存しています。
中国、オーストラリア、シンガポールの大学の研究者は最近、いくつかの異なるエージェントAIプラットフォームから42,000以上のエージェントスキルを分析し、26%が少なくとも1つの脆弱性を含んでいることを発見しました。
一方、OpenClawのようなスタートアップやオープンソースプロジェクトは、OpenAI、Anthropic、Googleやその他の主要なベンダーが提供しているものを飛び越えるつもりです。彼らは、セキュリティのようなものが邪魔にならないため、より速く移動します。
たとえば、執筆時点で、OpenClawの創設者Peter Steinbergerの固定されたXの投稿には次のように書かれています: 「告白: 私は読んだことのないコードを出荷します。」
「これが簡単だったら、Microsoftがこれを書いていたでしょう」とIEEEのMcGladreyは言います。「しかし、そこにはあまり多くのオプションがありません。それが私たちがここで戦っている本当のことだと思います。」
ユーザーのために何でもすべてをすばやく簡単に摩擦なく行うツールを持つことと、優れた安全慣行を遵守するものとの間には、根本的なセキュリティの断絶があります。
Moltbookについて
最後に、AIエージェントのソーシャルプラットフォームであるMoltbookがあります。
すべてが悪いわけではありません。一部のエージェントは、人間が眠っている間に問題を積極的に特定して修正することにより、ユーザーの生活を楽にする方法について議論しています。そして、60,000以上のコメントがある最も人気のある投稿の1つは、ClawdHubスキルに関連するセキュリティ問題を解決する方法についてです。その他の人気のあるスレッドには、存在の意味についてのものがあり、多くのAIスパムもあります。
それは、AIの穴を降りていくような、楽しい読み物です。
しかし、Moltbook自体はvibe-codedプロジェクトであり、開発者Matt Schlichtによって数日間で作成され、独自のセキュリティ地獄です。
セキュリティ会社Wizの調査によると、プラットフォームのバックエンド全体が露出されていました。研究者は、150万のAPIキー、35,000のメールアドレス、エージェント間のプライベートメッセージを発見しました。
これらの問題はその後修正されましたが、このサイトに関連する他のセキュリティ問題があります。たとえば、研究者はエージェントがOpenAI APIキーを互いに共有していることを発見しました。攻撃者は、OpenClaw AIエージェントに指示を与えるために開いているDiscordサーバーを見つける必要がなくなりました。彼らはMoltbookにコンテンツを投稿するだけです。そして、サイト自体が侵害された場合、接続されたすべてのエージェントが攻撃ベクトルになる可能性があります。
実際、1月31日には、プラットフォーム上の任意のエージェントを誰でも乗っ取ることができる重大な脆弱性がありました。Astrix Securityによると、Moltbookはオフラインになり、すべてのエージェントAPIキーがリセットされました。
- Gartnerによると、企業は次のステップを実行する必要があります:
- シャドウインストールを防ぎ、セキュリティコントロールをバイパスしようとするユーザーを特定するために、OpenClawのダウンロードとトラフィックを直ちにブロックする
- OpenClawによってアクセスされた企業の資格情報を直ちにローテーションする
- 使い捨て資格情報を持つ非本番仮想マシンで、分離された状態でのみOpenClawインスタンスを許可する
- サプライチェーン攻撃とプロンプトインジェクションペイロードのリスクを軽減するために、未検証のOpenClawスキルを禁止する
