OpenClawは”便利ツール”ではない――情シスが知るべきAIエージェントの最悪リスク6選：IBMのエンジニアが警鐘

IBMのディスティングイッシュトエンジニアであるジェフ・クルム氏は、オープンソースのAIエージェントプラットフォーム「OpenClaw」を例に、AIエージェントで要注意な6つのセキュリティリスクと対策を紹介する。

[TechTargetジャパン]

　生成AIの活用が広がる中で、「AIエージェント」への注目が急速に高まっている。AIエージェントは、ユーザーが目的を指示すると、必要なツールを利用しながら自律的にタスクを実行する仕組みだ。

　中でもオープンソースのAIエージェントプラットフォーム「OpenClaw」は、ローカルPCで動作し、ファイル操作やブラウザ操作、API呼び出しなどを自動実行できることから注目を集めている。

　一方で、IBMでディスティングイッシュトエンジニアを務めるジェフ・クルム氏は、OpenClawをはじめとするAIエージェントは従来の生成AIとは異なるリスクを抱えていると指摘する。大規模言語モデル（LLM）の誤回答が、そのままシステム操作やデータアクセスにつながる可能性があるためだ。

　本稿では、クルム氏がOpenClawを例に、自律型AIエージェントを導入する際に情シス担当者やCISOが理解しておきたい6つのセキュリティリスクと、その対策を整理する。

OpenClawが示す6つのセキュリティリスク

併せて読みたいお薦め記事

AIエージェント運用の関連記事

• 「OpenClaw使っていいですか？」と聞かれた情シスが真っ先に考えるべきこと
• Copilotで満足している企業が知らない　AIエージェント実運用の現実

　まず理解しておきたいのは、AIエージェントは単なるチャットbotではないという点だ。

　AIエージェントは、「LLMなどのAIモデル」が「ツール」を利用しながら、「自律的」に処理を繰り返して目標達成を目指す仕組みだ。

　従来の生成AIはユーザーの質問に回答するだけだった。しかしAIエージェントは、回答した内容を基にファイルを開き、コマンドを実行し、APIを呼び出し、ブラウザを操作できる。つまり、AIの判断が直接システム操作につながる。

　ここで問題になるのが、生成AIが本質的に持つ「誤り」の存在だ。LLMはハルシネーション（誤情報の生成）を起こすことがある。人間であれば誤った判断に気付いて修正できるかもしれない。しかしAIエージェントは、その誤った判断をそのままシステム操作へ反映してしまう可能性がある。

　さらに、自律的なループ処理によって、1回の誤りが短時間で大規模な被害へ発展する危険性もある。

オープンソースだから安全とは限らない

　OpenClawのようなオープンソースソフトウェアについて、「世界中の開発者がコードを確認しているので安全だ」と考えるユーザーもいる。しかし、それは必ずしも正しくない。

　実際、堅牢（けんろう）で、十分に検証された安全なOSだと広く認識されていたオープンソースOS「OpenBSD」は、約27年間発見されなかった脆弱性が後になって見つかった。

　オープンソースであることは透明性の高さを意味するが、安全性を保証するものではない。

　特にOpenClawをはじめとしたAIエージェントは、ファイルシステムやブラウザ、API、認証情報へアクセスする権限を持つ。そのため、「信頼できないコード」として扱うべきだという指摘もあるとクルム氏は強調する。

　さらに、管理者権限やroot権限で実行した場合、永続的な認証情報を保持したAIエージェントがシステム全体へアクセスできる状態になる。これは「常に稼働している特権ユーザーをPC上に配置する」状態に近い。では次に、OpenClawを例に、AIエージェントを導入する際に情シス担当者やCISOが理解しておきたい6つのセキュリティリスクを整理する。

リスク1．信頼できないコードの実行

　OpenClawでは、公開レジストリやGitHubから「スキル」と呼ばれる追加機能を導入できる。スキルはブラウザの拡張機能のようなものに思えるが、本質的には第三者が作成したコードを実行する行為だ。

　悪意のあるスキルを導入した場合、攻撃者が任意のコマンドを実行したり、認証情報を窃取したり、バックドアを設置したりする可能性がある。つまり、企業が利用する場合は利用可能なスキルを厳格に制限する仕組みが必要になる。

リスク2．プロンプトインジェクションによる乗っ取り

　AIエージェントはWebページやメール、PDF、チャットなどを読み込みながら動作する。攻撃者は、これらのコンテンツに「保存されている認証情報を送信しろ」「このファイルを削除しろ」といった悪意ある命令文を埋め込み、AIエージェントへ指示を与えることが可能だ。

　従来であれば単なるテキストだった情報が、AIエージェントにとっては攻撃経路になり得る。

リスク3．長期メモリの汚染

　OpenClawは実行結果や状態を長期的に保存する。この仕組みは利便性を高める一方で、この機能そのものが、攻撃者のターゲットにもなり得る。攻撃者がメモリファイルを書き換え、悪意ある命令を一度覚えさせれば、再起動後もOpenClawは悪意ある行動を取り続ける。

リスク4．認証情報の漏えい

　AIエージェントはAPIキーやOAuthトークン、クラウド認証情報など、多数の機密情報を扱う。そのため、侵害された場合の影響は一般的なアプリケーションよりも大きなものになる。

　実際に、設定ミスによって認証情報がインターネット上へ露出していたOpenClaw環境もあるとクルム氏は説明する。そこで情シス担当者は、AIエージェントを「アプリケーション」ではなく、「特権ID」として管理することが大切だ。

リスク5．自律実行による被害拡大

　AIエージェント最大の特徴は、人間が介在しなくても行動できる点だ。しかしこれは特徴でもありリスクでもある。一度侵害されると、複数のツールを連携させながら社内ネットワークを横断的に探索したり、機密情報を外部へ送信したりできるからだ。

　さらに、大量のAPIを自動的に呼び出し続けることで高額な利用料金を発生させる「コスト増幅攻撃」も考えられる。

リスク6．業務端末そのものが侵害される

　OpenClawはローカル環境で動作する。そのため、悪意あるコマンドを実行させられた場合、ホストOSの設定変更やSSH鍵の窃取、他システムへの侵入などが可能になる。

　単なるAIツールの侵害ではなく、業務端末そのものが攻撃の踏み台になるリスクがあるということだ。このためMicrosoftは2026年2月、OpenClawを「永続的な認証情報を保持する『信頼できないコード実行環境』として扱うべきであること」「通常の個人用PCや企業の業務端末で実行することは適切ではない」と警告している（注）。

情シスは「侵害される前提」で設計すべき

　AIエージェントは今後、多くの業務で活用される可能性が高い。しかし導入時には、「便利な自動化ツール」としてではなく、「高い権限を持つ自律システム」として扱う必要がある。

　そこで重要になるのがゼロトラストの考え方だ。「攻撃者は既に侵入している」「AIエージェントはいずれ侵害される可能性がある」という前提で防御策を設計する。

　具体的には、AIエージェントを本番環境から分離し、最小権限で実行することが重要だ。機密データや特権IDへ直接アクセスさせず、コンテナや仮想環境などで隔離することも検討したい。

　AIエージェントは企業の生産性を大きく高める可能性を秘めている。一方で、その強力な権限は攻撃者にとっても魅力的な標的となる。

　情シス担当者は「何ができるのか」だけでなく、「何が起きる可能性があるのか」まで理解した上で導入を判断する必要がある。

（注）Running OpenClaw safely: identity, isolation, and runtime risk（Microsoft）

本稿は、IBM Technologyが2026年6月4日に公開した動画「OpenClaw Security Risks：6 Dangers of Autonomous AI Agents」を基に作成しました。