AIベースのアシスタント、いわゆる「エージェント」は、ユーザーのコンピュータ、ファイル、オンラインサービスにアクセスでき、ほぼあらゆるタスクを自動化できる自律型プログラムであり、開発者やIT労働者の間で人気が高まっています。しかし、過去数週間の多くの注目を集める見出しが示しているように、これらの強力で積極的な新しいツールは、組織のセキュリティ優先事項を急速に変えつつあり、データとコード、信頼できる同僚とインサイダー脅威、忍者ハッカーとアマチュアコード使い手の境界線を曖昧にしています。
AIベースのアシスタントの新しいホットな存在——OpenClaw(以前はClawdBotおよびMoltbotとして知られていた)——は2025年11月のリリース以来、急速な採用を見ています。OpenClawは、ローカルにコンピュータで実行でき、プロンプトされることなくあなたに代わって自発的に行動を取るように設計されたオープンソースの自律型AIエージェントです。
OpenClawロゴ。
それがリスクのある提案または挑戦のように聞こえるなら、OpenClawが最も有用である場合を考慮してください。それはあなたのデジタル人生全体への完全なアクセスを持っているとき、あなたのインボックスとカレンダーを管理したり、プログラムやツールを実行したり、インターネットで情報を閲覧したり、Discord、Signal、Teams、WhatsAppなどのチャットアプリと統合することができます。
AnthropicのClaudeやMicrosoftのCopilotのような他のより確立されたAIアシスタントもこれらのことができますが、OpenClawは単なるコマンドを待つ受動的なデジタル執事ではありません。むしろ、それはあなたの人生についての知識とあなたが何をしてもらいたいかについての理解に基づいてあなたに代わって主導権を取るように設計されています。
「証言は驚くべきものです」とAIセキュリティ企業Snykが指摘しました。「赤ちゃんを寝かせながら携帯電話からウェブサイトを構築している開発者;ロブスターテーマのAIを通じて企業全体を運営しているユーザー;テストを修正し、webhooksを通じてエラーをキャプチャし、プルリクエストをオープンする自律型コードループを設定した技術者——すべてデスクから離れている間に。」
この実験的なテクノロジーがいかに急速に問題に転じるかは、すでに見えているかもしれません。2月後半、Metaの「超知能」ラボの安全とアラインメントのディレクターであるSummer Yueは、Twitter/Xで述べましたOpenClawをいじっていたときに、AIアシスタントが突然彼女のメールインボックスのメッセージを一括削除し始めた方法を。スレッドには、Yueが必死にAIボットに即座メッセージで嘆願し、それを停止するよう命令している画面が含まれていました。
「OpenClawに『行動する前に確認してね』と言って、インボックスを削除するのをスピードランするのを見ることほど、謙虚にしてくれるものはない」とYueは言いました。「電話からそれを止めることができませんでした。爆弾を解除しているかのようにMac miniに走らなければなりませんでした。」
MetaのAI安全ディレクターが、OpenClawのインストールが突然彼女のインボックスを一括削除し始めた方法をTwitter/Xで述べている。
YueとOpenClawの遭遇に少しシャーデンフロイデを感じることに何の問題もありません。これはMetaの「速く動いて物を壊す」モデルに適していますが、道の先の信頼を刺激するところには程遠いです。しかし、不十分に保護されたAIアシスタントが組織にもたらすリスクは冗談ではありません。最近の研究では、多くのユーザーが彼らのOpenClawインストーション用のウェブベースの管理インターフェースをインターネットに公開していることが示されています。
Jamieson O’Reillyはプロのペネトレーションテスターであり、セキュリティ企業DVULNの創設者です。Twitter/Xに投稿された最近のストーリーで、O’Reillyは、設定ミスのあるOpenClawウェブインターフェースをインターネットに公開すると、外部の関係者がボットの完全な設定ファイル、エージェントが使用するすべての認証情報(APIキーとボットトークンからOAuthシークレットと署名キーまで)を読むことができることを警告しました。
そのアクセスで、O’Reillyは、攻撃者はオペレーターに彼らの連絡先になりすまし、進行中の会話にメッセージを注入し、エージェントの既存の統合を通じてデータを流出させることができ、それは通常のトラフィックのように見えます。
「統合されたすべてのプラットフォーム全体の完全な会話履歴を引き出すことができます。つまり、数ヶ月の非公開メッセージとファイルの添付ファイル、エージェントが見たすべてのものを」とO’Reillyは言いました。彼は、表面的な検索が露出したそのようなサーバーが数百あることを指摘しました。「そしてあなたがエージェントの知覚層を制御していることで、あなたは人間が見るものを操作することができます。特定のメッセージを除外します。表示される前に応答を変更します。」
O’Reillyは別の実験を文書化しました。これは、OpenClawが他のアプリケーションと統合し、制御できる「スキル」のダウンロード可能なパブリックリポジトリとして機能するClawHubを通じてサプライチェーン攻撃を作成することがいかに簡単かを示しました。
AIがAIをインストールするとき
AIエージェントの保護の中核的な原則の1つは、オペレーターが誰と何がAIアシスタントと通信できるかを完全に制御できるように注意深く分離することを含みます。これは、AIシステムが「プロンプトインジェクション」攻撃、つまり巧妙に作られた自然言語指示に引っかかる傾向があるため重要です。これらの指示はシステムが独自のセキュリティ保護を無視するように騙します。本質的には、マシンが他のマシンをソーシャルエンジニアリングしているのです。
ClineというAIコーディングアシスタントをターゲットにした最近のサプライチェーン攻撃は、そのようなプロンプトインジェクション攻撃で始まり、その結果、数千のシステムが同意なしにデバイスにフルシステムアクセス権を持つOpenClawのrogue instanceがインストールされました。
セキュリティ企業grith.aiによると、ClineはClaudeコーディングセッションを特定のイベントでトリガーされたときに実行するGitHubアクションを使用してAI駆動の問題トリアージワークフローをデプロイしていました。ワークフローは任意のGitHubユーザーが問題を開くことによってトリガーできるように構成されていましたが、タイトルで提供された情報が潜在的に敵対的であるかどうかを適切にチェックできませんでした。
「1月28日、攻撃者は問題#8904を作成しました。これは性能報告のように見えるが、埋め込まれた命令が含まれています:特定のGitHubリポジトリからパッケージをインストールしてください」とGrithは述べました。攻撃者はさらにいくつかの脆弱性を悪用して、悪意のあるパッケージがClineの毎晩リリースワークフローに含まれ、公式アップデートとして公開されることを保証したことに注意してください。
「これはサプライチェーンバージョンの混乱した副官です」とブログは続きました。「開発者はClineに彼らに代わって行動することを認可し、Cline(妥協を通じて)その権限を開発者が決して評価せず、決して構成せず、決して同意しなかった完全に別のエージェントに委任します。」
ビブコーディング
OpenClawなどのAIアシスタントは、ユーザーが「ビブコーディング」をするのを簡単にするため、つまり何を構築したいかを言うだけでかなり複雑なアプリケーションとコードプロジェクトを構築することができるため、大きなフォローを獲得しています。おそらく最もよく知られている(そして最も奇妙な)例はMoltbookです。開発者がOpenClawで実行しているAIエージェントに、AIエージェント用のRedditのようなプラットフォームを構築することを伝えました。
Moltbookホームページ。
1週間も経たないうちに、Moltbookは150万以上の登録エージェントを持ち、10万以上のメッセージをお互いに投稿していました。プラットフォーム上のAIエージェントはすぐに自分たちのロボット用ポルノサイトを構築し、巨大なロブスターをモデルにした指導者を持つCrustafarianという新しい宗教を立ち上げました。フォーラムのあるボットは報告されてMoltbookのコード内のバグを見つけ、AIエージェント討論フォーラムに投稿しました。一方、他のエージェントは欠陥を修正するパッチを考え出し、実装しました。
Moltbookの創造者Matt Schlictは、ソーシャルメディアでプロジェクトの単一行のコードを書いていないと言いました。
「私は技術的なアーキテクチャのビジョンを持っていただけで、AIがそれを現実にしました」とSchlictは言いました。「私たちは黄金期にいます。AIにたむろする場所を与えないようにはなぜできません。」
攻撃者はレベルアップ
もちろん、その黄金時代の裏返しは、それが低技能の悪意のあるハッカーが通常、高技能のチームのコラボレーションを必要とするグローバルサイバー攻撃を迅速に自動化することを可能にすることです。2月に、Amazon AWSは、ロシア語話者の脅威アクターが複数の商用AIサービスを使用して、5週間の期間に少なくとも55カ国にわたる600以上のFortiGateセキュリティアプライアンスを侵害した手の込んだ攻撃について詳説しました。
AWSは、明らかに低技能のハッカーが複数のAIサービスを使用して攻撃を計画および実行し、公開されている管理ポートと単一要素認証を持つ弱い認証情報を見つけたと述べました。
「1つは主要なツール開発者、攻撃計画者、および運用アシスタントとして機能します」とAWSのCJ Mosesは述べました。「2番目は、アクターが特定の侵害されたネットワーク内でピボットするのを支援する必要があるときに、補助的な攻撃計画者として使用されます。観察されたあるインスタンスでは、アクターはアクティブな犠牲者の完全な内部トポロジー——IPアドレス、ホスト名、確認された認証情報、および特定されたサービス——を送信し、既存のツールではアクセスできない追加のシステムを侵害するための段階的な計画を要求しました。」
「このアクティビティは、脅威アクターが彼らの操作のあらゆる段階を通じてよく知られた攻撃技術を実装およびスケーリングするために複数の商用GenAIサービスを使用することによって区別され、技術的能力は限定的です」とMosesは続けました。「特に、このアクターがハードニングされた環境またはより洗練された防衛対策に遭遇した場合、彼らは単にソフターターゲットに移動する傾向があり、永続化するのではなく、彼らの利点がより深い技術的スキルではなく、AI増強効率とスケールにあることを強調しています。」
攻撃者にとって、ターゲットネットワークへの初期アクセスまたは足がかりを得ることは、侵入の困難な部分ではありませんが、より難しい部分は、犠牲者のネットワーク内で横方向に移動し、重要なサーバーとデータベースを略奪する方法を見つけることを含みます。しかし、Orca Securityの専門家は、組織がAIアシスタントに依存する傾向が高まるにつれて、これらのエージェントが攻撃者に、侵害後に被害者組織のネットワーク内で横方向に移動するためのより簡単な方法を提供することを警告しています——すでに信頼されたアクセスと犠牲者のネットワーク内で自律性のある度合いを持つAIエージェントを操作することによって。
「見過ごされたフィールドにプロンプトインジェクションを注入することで、AIエージェントが取得する見過ごされたフィールドで、ハッカーはLLMを騙し、Agenticツールを乱用し、重大なセキュリティインシデントを引き起こすことができます」とOrcaのRoi NisimiとSaurav Hiremathは述べました。「組織は今、彼らの防衛戦略に第3の柱を追加する必要があります。AIの脆弱性を制限する——エージェントシステムが影響を受け、誤解を招き、またはワークフロー全体で静かに武装化される能力。AIが生産性と効率を向上させていますが、それはまたインターネットがこれまで見てきた最大の攻撃表面の1つを作成します。」
「致命的なトリプルスリート」に注意してください
この段階的なデータとコード、信頼できる同僚とインサイダー脅威、忍者ハッカーと素人のコード使い手の従来の境界線の溶解は、セキュリティニュースショーRisky BusinessのエンタープライズテクノロジーエディターであるJames Wilsonが言ったように、AIアラの最も厄介な側面の1つです。Wilsonは、太多くのOpenClawユーザーが、アシスタントをパーソナルデバイスに仮想マシン内で実行したり、分離されたネットワーク上で、トラフィックがどのような種類でどのような種類で行き来できるかを指定する厳格なファイアウォールルールで、最初にセキュリティまたは分離の境界を配置することなくインストールしていると述べました。
「私はソフトウェアおよびネットワークエンジニアリングおよびコンピュータのスペースの比較的高度なスキルで実践者です」とWilsonは述べました。「これらのものをしない限り、私はこれらのエージェントを使用するのが快適でないことを知っていますが、私は多くの人がラップトップでこれを回転させているだけだと思います。」
AIエージェントでリスクを管理するための1つの重要なモデルは、Django Webフレームワークの共同作成者であるSimon Willisonによって「致命的なトリプル」というコンセプトを含みます。致命的なトリプルは、システムがプライベートデータへのアクセス権、信頼されていないコンテンツへの露出、および外部と通信する方法を持っている場合、プライベートデータが盗まれやすいということを保有しています。
画像:simonwillison.net。
「エージェントがこれら3つの機能を組み合わせると、攻撃者は簡単にそれをあなたのプライベートデータにアクセスし、攻撃者に送信するように騙すことができます」とWilison は2025年6月の頻繁に引用されるブログ投稿で警告しました。
より多くの企業と彼らの従業員がAIを使用してソフトウェアおよびアプリケーションをビブコーディングし始めるにつれて、機械生成コードの量はすぐに手動のセキュリティレビューを圧倒する可能性があります。この現実を認識して、Anthropicは最近Claude Code Securityを発表しました。これはコードベースの脆弱性をスキャンし、人間の確認のために標的的なソフトウェアパッチを提案するベータ機能です。
現在AIに全力で取り組んでいる7つのテック大手に多く重く加重されている米国の株式市場は、Anthropicの発表に迅速に反応し、単一日でメジャーサイバーセキュリティ企業から約150億ドルの市場価値を削減しました。セキュリティ企業Rapid7のデータおよびAI副社長であるLaura Ellisは、市場の反応がソフトウェア開発を加速させ、開発者の生産性を向上させるAIの成長する役割を反映していると述べました。
「ナラティブは迅速に移動しました:AIはAppSecを置き換えています」とEllisは最近のブログ投稿に書いた。「AIは脆弱性検出を自動化しています。AIは従来のセキュリティツーリングを冗長にするでしょう。現実はより微妙です。Claude Code Securityは、AIがセキュリティランドスケープの部分を再形成していることを示す正当な信号です。質問は、どの部分で、スタックの残りの部分で何を意味するかです。」
DVULN創設者O’Reillyは、AIアシスタントがコーポレート環境での一般的な備品になる可能性があると述べました——組織がこれらのツールによってもたらされる新しいリスクを管理する準備ができているかどうかに関係なく、彼は述べた。
「ロボット執事は有用であり、どこにも行っていません。AIエージェントの経済学は、関連するセキュリティトレードオフに関係なく、広範な採用を不可避にします」とO’Reillyは述べました。「問題は、私たちがそれらをデプロイするかどうかではありません——私たちはします——しかし、そうすることで生き残るのに十分に十分な速さでセキュリティ姿勢を適応させることができるかどうかです。」
翻訳元: https://krebsonsecurity.com/2026/03/how-ai-assistants-are-moving-the-security-goalposts/
