- OpenClawは、フルアクセス認証情報を保持しながら、危険なアクションを静かに実行できます
- 永続トークンにより、微妙な操作が複数のセッション全体で検出されないままになる可能性があります
- 標準的なワークステーションでOpenClawを実行すると、重要なデータが目に見えないリスクにさらされます
マイクロソフトのセキュリティ研究者は、OpenClawは通常の個人用または企業用ワークステーションで実行すべきではないと警告しています。
新しいマイクロソフトセキュリティブログ投稿は、リスクがランタイムの動作方法とどのように関連しているかを説明しています。信頼できない命令と実行可能なコードを、有効な認証情報を使用しながらブレンドします。
その組み合わせは、ほとんどのデスクトップ環境が処理するように設計されていない方法で、従来のセキュリティ境界を変更します。
OpenClawとは何か
OpenClawは、個人またはチームのタスクを実行するために構築された自己ホスト型AIエージェントランタイムです。質問に答えるだけに限定されません。
完全に機能するために、ユーザーは、オンラインサービス、メールアカウント、ログイントークン、ローカルファイルを含む広範なソフトウェアアクセスを付与します。
接続されると、リポジトリを参照、メッセージを送信、ドキュメントを編集、APIを呼び出し、SaaSプラットフォームと内部システム全体でワークフローを自動化できます。
また、公開ソースから外部スキルをダウンロードしてインストールすることができ、これらのスキルはエージェントが実行できることを拡張します。
ランタイムは永続トークンと保存された状態を保持し、繰り返される認証なしにセッション全体で動作し続けることができます。
ソフトウェアが新しい機能をインストールし、予測不可能な入力を処理し、保存された認証情報で機能できる場合、それをホストしているデバイスは継続的なオートメーションループの一部になります。
懸念事項は、単にOpenClawがコードを実行することではありません。多くのアプリケーションは毎日安全にコードを実行しますが、ここでの違いは、OpenClawが隠れた操作を含む可能性のある命令を処理しながら、サードパーティの機能を取得できるということです。
これにより、コード供給と命令供給の両方のリスクが1つの環境にもたらされ、従来のソフトウェアとは異なり、OpenClawは時間とともに動作状態を変更できます。
保存されたメモリ、設定、インストールされた拡張機能は、それが読む内容の影響を受ける可能性があります。
軽く制御された環境では、これは認証情報の公開、データ漏洩、または永続する微妙な設定変更につながる可能性があります。
これらの結果は明らかなマルウェアを必要としません。正当な権限で行われた通常のAPI呼び出しを通じて発生する可能性があります。
マイクロソフトは、永続性は目に見える侵害ではなく、静かな設定ドリフトとして現れる可能性があることに注意します。
OAuth同意承認またはスケジュール済みタスクは、すぐに警告信号なしにアクセスを拡張する可能性があります。
標準的なエンドポイント保護と適切に設定されたファイアウォールは、特定の脅威を軽減しますが、承認された認証情報を使用するロジックを自動的にはブロックしません。
「OpenClawは、永続的な認証情報を持つ信頼できないコード実行として扱われるべきです。標準的な個人用または企業用ワークステーションで実行するのに適切ではありません…」と同社はブログ投稿で述べています。
それでもOpenClawをテストする予定の組織のために、マイクロソフトは厳格な分離を推奨しています。
ランタイムは、プライマリワークアカウントが接続されていない専用の仮想マシンまたは別のデバイス内で動作するべきです。
認証情報は限定的で、目的に合わせて構築し、定期的にローテーションする必要がありますが、Microsoft Defender XDRまたは同様のツールを通じた継続的な監視は、異常なアクティビティを検出することをお勧めします。
