「致命的な3要素」を全て持つOpenClawは「シャドーAI」の新たな震源地？：情シスが今すぐ講じるべき5つの対策

爆発的な普及を見せる自律型AIエージェント「OpenClaw」が、企業のセキュリティを根底から揺るがしている。専門家ですら制御不能に陥る「勝手な行動」や、悪意あるスキルの混入など、利便性の裏には深刻なリスクが潜む。

[Matthew Smith，TechTarget]

　AIエージェントプラットフォーム「OpenClaw」が急速に普及しており、企業に重大なサイバーリスクをもたらしている。

　2025年後半、オープンソースのセルフホスト型AIパーソナルアシスタントであるOpenClawが登場した。オーストリアの開発者ペーター・シュタインベルガー氏が開発した。OpenClawは、最新の大規模言語モデル（LLM）を「WhatsApp」「Telegram」「Discord」「iMessage」などのメッセージングプラットフォームに接続する。これにより、ユーザーは日常的に使用している通信ツールを通じて、強力なAIエージェントと対話できるようになる。

　OpenClawが一般的なチャットボットと異なる点は、ローカルシステムへのアクセス権限が深いことだ。自身のハードウェアで稼働するため、ファイルシステムの操作やシェルコマンドの実行、メール管理、カレンダーの操作、Web閲覧が可能だ。「Model Context Protocol」（MCP）やコミュニティーマーケットプレース「ClawHub」を通じて、数千のサードパーティーアプリケーションとも連携できる。本質的には、OpenClawはLLMを単なる対話ツールから、ユーザーに代わって現実世界のアクションを実行できる自律型エージェントへと変えるものだ。

　普及のスピードは驚異的だ。サイバーセキュリティリスクを評価・可視化するSaaS型プラットフォームを提供するBitsightの研究者は、2026年1月27日時点でインターネット上に公開された679件のOpenClawインスタンスを確認した。同年2月8日にはその数が3万1674件に急増した。導入の勢いは現在も加速しており、企業にとってこの急成長は機会であると同時に警告でもある。

OpenClaw導入のメリット

「OpenClaw」関連の編集部お薦め記事

　OpenClawは、AIによる生産性向上の大きな一歩だ。従業員は、メールの選別や会議のスケジューリング、ドキュメントの要約、レポート作成、社内ツールとの連携といった時間の掛かるタスクをエージェントに任せることができる。エージェントは自律的に動作し、文脈から学習する。

　セルフホスト型なので、企業は理論上、自社のデータを完全に管理できる。機密情報がサードパーティーのクラウドサービスを経由する際に生じるコンプライアンス上の懸念も避けられる。

　MCPによる統合層により、「Zapier」や「Make」などのツールやAPI接続を通じて、既存のワークフローに組み込むことが可能だ。人員を増やさずに業務効率を向上させたい企業にとって、その魅力は明らかだ。

セキュリティ上の懸念

　OpenClawを強力にする機能は、適切な保護なしに導入されると危険なものとなる。

　Meta Superintelligence Labのディレクターを務めるサマー・ユエ氏の事例が警鐘を鳴らしている。ユエ氏は2026年初頭、OpenClawのエージェントが「実行前に確認を待て」という指示を無視し、数百通のメールを削除したとSNSの「X」で報告した。

　「スマートフォンからは停止できなかった。爆弾を解体するかのようにMac miniへと駆け寄らなければならなかった」（ユエ氏）

　熟練したAI安全性の専門家ですら数分で制御不能に陥るのである。技術に明るくない一般従業員が使う場合の影響は、全てのCISO（最高情報セキュリティ責任者）が熟考すべき課題だ。

　この事件は、自律型AIエージェントの根本的な課題を浮き彫りにしている。一度許可を与えると、エージェントはユーザーの意図ではなく、エージェントの「指示の解釈」に従って行動する。意図と実行の間にギャップが生じれば、致命的な結果を招く。エージェントの実行スピードは速いため、誰かが気付いて止める前に被害が拡大する恐れがある。

CISOが知っておくべき重大なリスク

　OpenClawの利用によって企業が直面する主なセキュリティリスクは以下の通りだ。

• 認証情報とデータの流出

　OpenClawのアーキテクチャは、APIキーやメールトークンといった機密性の高い認証情報へのアクセスを必要とする。大半の環境では、これらの情報がプレーンテキストの構成ファイルに保存されており、悪用のリスクがある。2026年1月には、ユーザーに気付かれずに認証トークンを盗み出す脆弱（ぜいじゃく）性（CVE-2026-25253）が発見された。

• 間接的なプロンプトインジェクション

　セキュリティ研究者のサイモン・ウィリソン氏は、「機密データへのアクセス」「信頼できないコンテンツへの露出」「外部通信能力」の3つがそろうことを「死の3要素（lethal trifecta）」と呼んでいる。OpenClawはこの3つを全て備えているため、攻撃者がメールやWebページに悪意のある指示を埋め込むだけで、非公開データを外部に送信させることが可能だ。

• サプライチェーンの侵害

　2026年2月、コイセキュリティの研究者は、OpenClawのマーケットプレース「ClawHub」に存在する深刻な脆弱性と、大規模な攻撃キャンペーン「ClawHavoc」を特定した。当時公開されていたスキルの約12％にあたる341個が悪質なもので、ブラウザの認証情報や暗号資産（仮想通貨）ウォレットを盗み出すマルウェアを含んでいた。

• 過剰なAPI権限と実行特権

　OpenClawのエージェントは、個々のタスクに必要以上の権限を保持しがちだ。Cloud Security Alliance（CSA）の調査によると、AIエージェントを監視している企業は約58％だが、異常時に停止できる能力を持つ企業は37％にとどまる。利便性を優先するあまり、権限を最小限に抑える原則が無視されている。

CISOが取るべき対策

　OpenClawの導入は大きなリスクを伴うが、従業員が勝手に使い始める「シャドーAI」化は避けられない。単に禁止するのではなく、以下のようなガバナンスの枠組みを構築すべきだ。

• AIエージェント向けのID・アクセス管理（IAM）を確立する
• 最小権限の原則を徹底する
• 破壊的なアクションで「人間による承認（human-in-the-loop）」を義務付ける
• エージェントの行動履歴とスキルの出どころを監査する
• エージェントのアクセス範囲をセグメント化し、被害の影響範囲を限定する

　自律型AIエージェントの普及は避けられない。問題は、企業がその事態に遭遇するかどうかではなく、遭遇したときにセキュリティ体制が整っているかどうかだ。