中国の国家コンピュータネットワーク緊急対応技術チームは、OpenClawのエージェンティックAIツールが重大なセキュリティリスクをもたらすと地元に警告しました。
火曜日にWeChat投稿で、CERTはOpenClawが「極めて脆弱なデフォルトセキュリティ設定」を持つため、非常に慎重に扱う必要があると警告しました。
CERTは、攻撃者がウェブページに悪意のある命令を埋め込んでこのツールを標的にする可能性があり、エージェンティックツール向けの悪意あるプラグインがユーザーをリスクにさらす可能性があることを懸念しています。中国のサイバーアドバイザーはまた、OpenClawが既に複数の深刻な脆弱性を公開しており、認証情報の盗用につながり、重大な攻撃を可能にする可能性があることを指摘しています。
ユーザーエラーも懸念事項です。CERTはOpenClawユーザーが誤って重要なデータを削除する可能性があると考えています。
組織はユーザーがOpenClawをコンテナで隔離し、管理ポートを公開インターネットから分離し、攻撃者をエージェンティックツールから遠ざけるための厳格な認証およびアクセス制御手順を実装することをお勧めしています。CERTはまた、ユーザーが自動更新を無効にし、OpenClawプラグインへのアクセスを制限することをお勧めしています。
CERTのアドバイスは、アナリスト企業Gartnerが提供したアドバイスよりもやや抑制的です。Gartnerは2月初旬にOpenClawをビジネスユーザーにとって「受け入れ難いサイバーセキュリティリスク」と説明しており、ユーザーが使い捨て認証情報を使用した分離された非本番仮想マシンでのみ実行することをお勧めしていました。
警告は、「ワンクリック展開サービスを提供する主要な国内クラウドプラットフォーム」のおかげで、中国がOpenClawとその派生製品の「ダウンロードと使用の急増」を経験しているという観察で始まります。そのようなオファリングの一例は、ウェブ大手のテンセントが月曜日に「Work Buddy」というOpenClawベースのツールを発売し、ユーザーは数分で設定でき、複数のチャットプラットフォームと統合できると主張しています。
中国のCERTがアドバイスを投稿してから1日後、地元当局はいくつかの政府機関と国営銀行でのOpenClawの使用を禁止したと報告されています。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/03/12/china_cert_openclaw_security_warning/
