AIエージェント「OpenClaw」に深刻なセキュリティリスク、CertiKが警告

AIエージェントのセキュリティリスクが露呈

ブロックチェーンセキュリティ大手のCertiKは3月31日、オープンソースのセルフホスト型AIエージェント「OpenClaw」に関する包括的なセキュリティ分析レポートを公開した。

OpenClawはGitHubで30万件以上のスターを獲得するなど爆発的な成長を遂げた。しかし、CertiKは、その急激な普及の裏で不正アクセスやデータ漏洩、システム侵害を招く恐れのある重大な脆弱性が相次いで露呈していると指摘。深刻な「セキュリティ債務」が蓄積されている現状に警鐘を鳴らした。

OpenClawは2025年11月にClawdbotというサイドプロジェクトとして始動した、オープンソースAIエージェントフレームワークだ。PCやサーバー上で自律的に動作し、ブラウザ操作やコード実行、50以上のメッセージングプラットフォームとの連携が可能。単なるチャットボットの枠を超えた「実行型AIエージェント」として注目を集めている。

しかし、稼働開始からわずか4ヶ月の間（2025年11月〜2026年3月）に、GitHub上では280件以上のセキュリティアドバイザリと100件を超えるCVE（共通脆弱性識別子）が発行されるなど、セキュリティ上の課題が噴出した。

また、サイバーセキュリティ企業Bitsightはインターネットに公開されたOpenClawのインスタンス3万件を特定。SecurityScorecardの研究者らは82か国で13万5,000件のインスタンスを発見したが、そのうち1万5,200件はリモートコード実行の脆弱性を抱えていたという。

レポートは、OpenClawの当初の設計が「信頼されたローカル環境」を前提としていた点を、根本的な問題として指摘した。

Gatewayはローカルネットワークからのアクセスを信頼できるものとして、本人確認の証明として扱い、本来なら必要とされる認証チェックが省略されていたと分析。そのため、localhostやURLパラメータ、OSとアプリの境界などが悪用され、シェル実行、ファイルシステムへのアクセス、ブラウザ自動操作、複数端末の制御まで含む統合的な制御権限が奪われた。その結果、ほとんどのセルフホスト環境では、被害範囲が事実上無制限に拡大しうる状況となった。

関連：GitHub上でOpenClaw開発者を標的にした仮想通貨フィッシング詐欺が発覚

最も深刻な脆弱性

レポートでは、最も深刻な脆弱性として以下を挙げている。

• ゲートウェイ制御における認証の脆弱性
• メッセージングプラットフォーム間でのアイデンティティ紐付けの脆弱性
• ポリシーと実行の間での一貫性のない適用
• 安全でないファイルシステム境界

さらに、外部から追加できる「スキル」と呼ばれる拡張機能がサプライチェーン攻撃の温床となっており、悪意あるプログラムが紛れ込むリスクが指摘されている。従来のソフトウェアとは異なり、これらの拡張機能は自然言語入力を通じてエージェントの行動に影響を与えるため、一般的なセキュリティツールでの検知が困難だとレポートは分析している。

また、環境の設定ミスも、コードレベルのバグと同等のリスクをもたらすとレポートは指摘。サンドボックス無効、権限設定の甘さ、共有ゲートウェイなど、設定一つで、AIエージェントが正常に動作していても「侵害済み」と同じ状態になる危険性があると警告した。

そして、文章に巧妙な指示を埋め込んでAIエージェントの挙動を操作するプロンプトインジェクションも、依然として未解決の深刻な脅威として残る。

このような問題はAIモデル自体の強化では解決できず、システムレベルの多層防御、厳格なAI能力制御、永続メモリの保護といった包括的な仕組みが不可欠だとレポートは強調する。

開発者はセキュリティを設計の基本要件と位置づけ、正式な脅威モデル構築、制御プレーンの強化、厳格な権限境界の適用、プロンプトインジェクションに対する多層防御の実装を徹底すべきだとCertiKは呼びかけている。

また、運用者は特権ユーザーと同等の厳格さでエージェントを管理し、アクセス制限、サンドボックス有効化、設定の定期監査、第3者統合の厳密な精査を行う必要がある。

最後に、CertiKは非技術系のユーザーに対し、「エコシステムが成熟するまで導入を控える方が安全」と、OpenClawの利用を控えるよう明確に勧告している。

関連：ClawHubのAIエージェントにマルウェア　仮想通貨盗難に警告