CISOが OpenClaw について知っておくべきことは何か

ackpress – shutterstock.com

個人用 AI エージェントを調整するための新しいツール OpenClaw – 以前は Clawdbot、その後 Moltbot と呼ばれていました – 現在大人気です。オープンソースソフトウェアは独立して、デバイス間で作業でき、オンラインサービスと相互作用し、ワークフローをトリガーできます。- Github リポジトリが過去数週間で数百万のビジットと 160,000 以上のスターを獲得したのも不思議ではありません。

開発者によると、OpenClaw のリポジトリは 1 週間で 200 万人以上の訪問者がありました。また、ソーシャルメディアプラットフォーム Moltbook に登録している約 170 万のエージェントがあります。OX Security のセキュリティ研究者によると、OpenClaw のダウンロード数は現在、週に 720,000 件です。

OpenClaw を魅力的にしているのは、ローカルで実行でき、バックエンドで任意の LLM を使用するように構成できるということです。さらに、ユーザーが既に使用している Chat アプリ (WhatsApp、Telegram、Discord、Slack、Teams) を通じて通信できます。オーケストレーションツールには、すべての一般的なオペレーティングシステム、多くの異なるスマートホームデバイス、生産性アプリ、Chrome、Gmail との既製統合があります。

しかし、AI エージェントの使用に関する問題は何ですか?

読むことをお勧めします: エージェンシック AI – セキュリティ決定者にとって新たな悪夢?

OpenClaw のサイバーセキュリティリスク

「そのようなツールを使用することの問題は、基本的にはユーザーができることを何でもできることです」と、クラウドセキュリティ同盟のチーフアナリストである Rich Mogull は説明します。ただし、それらは外部から制御されます。エンタープライズにとって、これは高いリスクの可能性があると、Binary Defense の副 CTO である John Dwyer は警告しています。「確かに何らかの保護対策がありますが、それらは新しく、試されていないものであり、研究者によってすでに回避されています。」

彼の推奨事項: CISO はこれらのツールの使用を完全に禁止する必要があります。「週末に自分でそれを試してみるのを楽しみにしています」と Mogull は認めています。「ただし現時点では、セキュリティモデルがないため、許可すべきではありません。」

そして急いで、なぜならツールは既に一部のエンタープライズで使用されています。セキュリティ提供者トークン reports が、顧客の 22% がこのツールをアクティブに使用していることをリポートしました。

影響は直接的な技術的リスクを超えています。「エンタープライズの場合、これは機密データ違反に対する罰金、訴訟、および顧客とパートナーの評判の損害をもたらす可能性があります」と、ABI Research のアナリストである Georgia Cooke は警告しています。これには、GDPR および同様の個人データ管理規制への違反につながる可能性がある個人データ、および機密保持契約の対象となる企業情報が含まれます。

その他のリスクには、知的財産の開示による競争上の不利、およびアクセス可能な技術情報と認証情報によるさらなる攻撃が含まれます。

セキュリティ研究者の Maor Dayan は、OpenClaw を「ソブリン AI 歴史における最大のセキュリティインシデント」と呼んでいます。彼の調査は既に 42,000 以上のインターネットに公開されたインスタンスを特定しており、検査されたシステムの 93% が認証を迂回するための重大な脆弱性を抱えていました。

OpenClaw の初期バージョンは、専門家によると、デフォルトで安全でありませんでした。急速なウイルス拡散は、ユーザーのセキュリティ意識を圧倒したため、多くの実装が急速に放棄され、古いコードのインスタンスが残りました。文書化された攻撃パスは、認証情報の盗難、ブラウザーの制御、および潜在的なリモートコード実行を可能にしました。

1 月末、Gartner の研究者は既に、OpenClaw が「エージェントベースの AI に強い需要を示しているが、重大なセキュリティリスクも伴っている」と警告していました。分析会社によると、配備後数時間以内にリモートコード実行を可能にする脆弱性が既に実証されています。

ClawHub スキルマーケットプレイス – OpenClaw によると、エージェントがタスクをより正確かつ効率的に実行するために使用できる指示、スクリプト、リソースのフォルダ – もサプライチェーンの重大なリスクをもたらします。認証情報はプレーンテキストで保存されており、侵害されたホストは API キー、OAuth トークン、および機密な会話を公開します。

「AI エージェントには、多くの場合、構成ファイルにトークンとシークレットが含まれています」と、Okta の Threat Intelligence ディレクターである Jeremy Kirk は説明しています。「ユーザーがそれらを誤って構成した場合、それらは公開されます。エンタープライズの文脈では、それは問題です。」

さらに、Noma Security は discovered OpenClaw に関連する新しいセキュリティ脆弱性: Discord、Telegram、または WhatsApp 上の企業内グループ。OpenClaw がユーザーにとって非常に魅力的である理由の 1 つは、複数のチャネルを通じてシステムと相互作用する能力です。ただし、OpenClaw がこれらのグループチャネルの 1 つに統合されている場合、それは他の参加者からの指示を実際の所有者から来たものと同じように扱います。

攻撃者が OpenClaw エージェントがインストールされているパブリック Discord サーバーへのアクセスを取得する場合、彼はボットに指示を与えることができます。たとえば、彼はそれに Cron ジョブを実行させ、トークン、パスワード、API キー、およびクリプト シード フレーズのためにローカルファイルシステムを検索させることができます。

「30 秒以内に、エージェントは機密データをまとめて、攻撃者が制御するサーバーに直接送信します」と Noma の研究者は言います。エンタープライズのセキュリティチームにとって、ボットは正常に機能しているように見えます – セキュリティ違反は、盗まれた認証情報が悪用されるまで発見されません。「ソーシャルメディアチームまたは外部請負業者が Clawdbot のような自律エージェントを配置する場合、彼らは実質的に企業インフラに接続されているローカルマシンへの永続的で監視されていないバックドアを開きます。」

そして、従業員がプライベートマシンの自宅でツールを実行していたとしても、OpenClaw はセキュリティリスクを提示します: ブラウザコントロールまたは所謂スキルを使用して、ソフトウェアはユーザーの認証情報を通じて企業アプリケーションにアクセスできる可能性があります。

セキュリティリスクは日々増加しています。OX Security の researchers によると、OpenClaw 周辺の開発者コミュニティも大きなリスクです。プロジェクトはヴァイブコードされた投稿に依存しており、開発を加速していますが、かなりのセキュリティリスクも伴っています。OX 研究者はコードベースで複数の不安全なコーディングパターンを発見しました – リモートコード実行、パストラバーサル攻撃、DDoS、またはクロスサイトスクリプティングなどの潜在的な結果。

「十分な保護対策がありません」と、セキュリティスペシャリストは強調しています。彼らはまた、バグレポートが GitHub で公開された複数のケースを見つけました。プライベートメッセージではなくメンテナーに。「これにより、攻撃者は自分で研究したり侵入テストを実施したりすることなく、脆弱性を迅速に悪用する機会が与えられます」と、彼らの研究報告書に記載されています。

怪我に塩を塗るために: セキュリティパッチと更新の正式なプロセスもありません。ほとんどのユーザーは更新を実行せず、単に最初にダウンロードしたバージョンに留まっています。

そしてその後スキルがあります。セキュリティ研究者兼 OpenSourceMalware 創設者の Paul McCarty は、OpenClaw プラットフォーム用のセントラルリポジトリである ClawHub 上の約 400 の異なる悪質なスキルを identified しました。これらのスキルは、暗号通貨の取引、LinkedIn 申請、または YouTube ビデオサムネイルのダウンロードなどのタスクを支援することになっています。一部は数千のダウンロードを抱えており、ClawHub で最もダウンロードされているスキルの中にあります。実際には、彼らはユーザーをマルウェアをインストールするようにだまします。

OpenClaw エコシステムに悪質な機能を導入することがいかに簡単かを示すために、セキュリティ研究者 Jamieson O’Reilly は自分でそのような機能を開発しました。彼は人為的にダウンロード数を 4,000 以上に増やしました – プラットフォーム上で最もダウンロードされた機能にしました – そして開発者が真の機能をダウンロードしたと思い込んで、7 つの異なる国から任意のコマンドを彼らのマシンで実行しているのを見ました。

「これは概念実証、可能なことの実証でした」と彼は書きました。「それほど誠実ではない人の手の中で、これらの開発者の SSH キー、AWS 認証情報、および全体的なコードベースは、彼らが何かが間違っていることに気付く前に盗まれてしまう可能性がありました。」

OpenClaw は企業のセキュリティギャップを明かしている

OpenClaw 全体の状況からの最初の重要な教訓: エンタープライズはセキュリティの基礎を改善するためにより多くのことをしなければなりません。なぜなら、どこかにギャップがあれば、それらは今、前例のない速度で見つけられ、悪用されるからです。OpenClaw の場合、これは、ユーザー権をそれほど最小限に制限し、すべてのアカウントに多要素認証を設定し、他の基本的なセキュリティ対策を実施することを意味します。

これは OpenClaw の問題を解決しません – およびまだ市場に来るすべての他のエージェントベースの AI プラットフォーム – しかし、リスクを制限し、セキュリティ違反の場合の被害を減らすのに役立ちます。

リスクを軽減するためのヒント

さらに、IEEE のシニアメンバーである Kayne McGladrey は、エンタープライズが OpenClaw に関連する危険を軽減するために取ることができるアクション があると述べています。まず第一に、企業はネットワークレベルのテレメトリを調べることができます。「デバイスから発信されるネットワークトラフィックはどのように見えますか?」と McGladrey は言います。「このデバイスは急に非常に高速で大量の AI を使用していますか?トークン使用量に大幅なスパイクはありますか?」

企業は、彼が付け加えるように、公開アクセス可能なインスタンスを見つけるために Shodan などのツールを使用することもできますが、内部ファイアウォール構成は他を隠すことができます。

実験を許可したいが、完全に禁止したくないエンタープライズの場合、彼は節度ある関心のあるユーザーのための段階的なパイロットプログラムについての議論に関心を示唆する関心のあるユーザーが関心のあるユーザーの場合の案を示唆します。「段階的なパイロットプログラムについて話す必要があります。」たとえば、ユーザーは、内部システムから隔離するセグメンテーション規則を備えた管理されたエンドポイント上で OpenClaw を実行することが許可される可能性があり、強力なテレメトリとエージェント活動、発信トラフィック、および異常な動作の警告の継続的な監視が伴います。(jm)