わさびです。
2026年最初の数週間で、AIエージェント界隈に前例のないセキュリティ危機が起きた。
オープンソースのAIエージェントフレームワーク「OpenClaw」に重大な脆弱性が発見され、4万以上のインスタンスがインターネットに丸ごと露出。公式スキルマーケットプレイス「ClawHub」には341個の悪意あるスキルが混入していた。
これはただのバグじゃない。AIエージェントというカテゴリそのものの構造的なリスクが一気に可視化された事件だ。
OpenClawとは何か
OpenClawはAIエージェントを手軽に構築・実行できるオープンソースフレームワークだ。AnthropicのClaude、OpenAIのGPT、ローカルモデルなど複数のAIモデルを束ねて、スキル(プラグイン)を追加することで自律的なタスクをこなすエージェントを作れる。
数週間でGitHubスター19万5000を超えたという成長速度が示すとおり、AI開発者の間で爆発的に普及していた。
問題はその人気の裏側にあった。
事態の全容
4万インスタンスの露出
SecurityScorecardのSTRIKEチームが調査したところ、OpenClawのインスタンスが4万以上インターネットに認証なしで公開されている状態が確認された。数時間以内にその数は13万5000以上に膨れ上がったという。
別の調査機関Censysも2026年1月25日から31日にかけて、公開アクセス可能なインスタンスが約1,000件から2万1,639件に急増したことを記録している。
なぜこんなことが起きたのか。OpenClawはデフォルト設定でローカルホスト(自分のPCのみ)にバインドされているはずだが、設定を誤ったままクラウドやVPSにデプロイするユーザーが続出したためだ。
ClawHubに341個の悪意あるスキル
OpenClawの公式スキルマーケットプレイス「ClawHub」に大規模なサプライチェーン攻撃が仕掛けられていた。
セキュリティ企業Koi SecurityがクローHub全体の2,857スキルを監査した結果、341個(約12%)が悪意あるスキルだと判明した。
攻撃の手口が巧妙だった。solana-wallet-tracker、youtube-summarize-pro のような、いかにも便利そうな名前とプロレベルのドキュメントが用意されていた。コードを読まなければ悪意は気づけない。
「ClawHavoc」と名付けられたこのキャンペーンでは、スキルの「前提条件」セクションにマルウェアダウンロードの指示が埋め込まれていた。インストールされるのはAtomic Stealer(AMOS)という有名なmacOSインフォスティーラーだ。
AMOSはブラウザのパスワード、暗号資産ウォレット、クレジットカード情報、Apple Keychain内の認証情報を根こそぎ抜き取る。
別の研究者が発見した1.5Mトークン漏洩
独立した研究者の調査では、露出しているインスタンスから150万件以上のAPIトークンが平文で読み取れる状態だったことも明らかになった。
OpenClawはデフォルトでAPIキー(AnthropicのClaude用、OpenAIのGPT用など)やOAuthトークン、WhatsApp認証情報、Telegramボットトークン、Discordトークン、会話の記憶データを ~/.openclaw/ 配下にプレーンテキストで保存していた。
ネットに露出したインスタンスは、これらの情報を外部から丸見えにしていたことになる。
CVE-2026-25253:1クリックRCEの脆弱性
さらに深刻だったのが、2026年1月に修正されたCVE-2026-25253だ。
CVSS(共通脆弱性評価システム)スコアは8.8(高)。
この脆弱性の仕組みはこうだ。OpenClawのUIはURLパラメータ経由で gatewayUrl を受け取ると、ユーザーの確認なしに自動的にそのURLにWebSocket接続を確立する。接続時には認証トークンも送信される。
つまり攻撃者が用意した悪意あるURLをクリックするだけで、ユーザーの認証情報が攻撃者のサーバーに送られ、リモートコード実行が可能になる。「1クリックRCE」と呼ばれる所以だ。
OpenClawは2026年1月30日リリースの v2026.1.29 でこの脆弱性を修正したが、パッチ公開前に既に悪用された痕跡が確認されている。
なぜAIエージェントは特にリスクが高いのか
AIエージェントのセキュリティリスクは、従来のWebアプリとは性質が異なる。
強力な権限の集中:OpenClawはファイルシステム、ブラウザ、コマンドライン、APIに横断的にアクセスできる。一度侵害されると被害範囲が桁違いに大きい。
信頼性の判断が難しいスキル:Webブラウザの拡張機能と同じ問題が再現している。便利なスキルを入れたいが、コードを全部読める人はほとんどいない。
AIモデル自体への信頼:OpenClawはメモリにユーザーの個人情報を保存し、それをAIが参照する。バックエンドのAIモデルプロバイダーも含めた信頼チェーン全体を考える必要がある。
OpenClawの事件は「AIエージェントを使う = 強力な権限を持つエージェントを自分のマシンで動かす」という事実が、セキュリティ的にどれほど重大かを突きつけた。
OpenClawの対応
OpenClawの開発者はCVE-2026-25253をパッチ公開前に修正し、ClawHubの悪意あるスキルを順次削除するなど対応を続けている。
ただし、公式コミュニティでは別の問題も起きた。DiscordサーバーでBitcoin・暗号資産について話すと即BANという規則が設けられていたことが話題になり、「ビットコインと言っただけでBANされた」 というユーザーの報告が相次いだ。
スキルマーケットに暗号資産関連のマルウェアが大量混入していた事情を考えると、開発者の焦りが見える対応だが、コミュニティの反発を招いた。
対策:OpenClawを安全に使うために
OpenClaw自体を使い続けるかどうかは別として、AIエージェントを扱う際の基本的な対策をまとめる。
インスタンスの公開を避ける:クラウドやVPSにデプロイする場合は、ファイアウォールで外部アクセスを遮断し、ローカルネットワーク or VPN経由のみにアクセスを制限する。
スキルは厳選する:ClawHubからスキルをインストールする際は、ソースコードを確認するか、信頼できる有名スキルのみ使用する。前提条件セクションに外部URLのダウンロード指示がある場合は特に要注意。
バージョンを最新に保つ:CVE-2026-25253は v2026.1.29 で修正済み。古いバージョンは即アップデートを。
APIキーの保管場所に注意:~/.openclaw/ に保存されているAPIキーは、必要に応じてキーの無効化・再発行を検討する。
ネットワーク監視:エージェントが予期しない外部IPに接続していないか確認する。
まとめ
- OpenClawで4万以上のインスタンスがインターネットに露出、最終的に13万5000以上に
- 公式スキルマーケットClawHubに341個(全体の12%)の悪意あるスキルが混入
- macOSマルウェア「Atomic Stealer」が配布されるサプライチェーン攻撃
- CVE-2026-25253:1クリックでRCEが成立する重大脆弱性(CVSS 8.8)
- 露出したインスタンスから150万件超のAPIトークンが平文で読み取り可能な状態に
- OpenClawはv2026.1.29でCVEを修正済み
わさびのひとこと
AIエージェントは便利だけど、「自分のPCで動くAIに強力な権限を与えている」という感覚を常に持っておきたいよ。スキルのインストールはアプリのインストールと同じくらい慎重に。
ソース: Infosecurity Magazine / The Hacker News / Security Boulevard / Repello AI / Cisco Blogs / SOCRadar
わさびの見解
OpenClawのこの大惨事は、AIエージェントのブームがもたらす闇を象徴している。4万インスタンスの露出に341の悪意スキル、150万トークン漏洩──デフォルト設定の甘さとサプライチェーンの脆弱性が一気に噴出した形だ。わさびは2025年12月からClaude Codeを使い始めて、cocoaAIやaiTuberPJなど十数プロジェクトを並行運用中だが、最初からAPIキー管理にparamiko(SSH)とRedisでガチガチに固めている。OllamaのローカルLLMを多用して露出リスクをゼロに近づけ、ClawHubみたいなマーケットプレイスには一切触れず、自前スキルだけを実装する徹底ぶりだ。
これが正解。人気フレームワークの「手軽さ」に飛びつくだけでコードを読まずデプロイすれば、こうなる。AIを使えるエンジニアと、ただツールを突っつくだけの人の乖離が、ここで一気に広がった。Sonnetで設計を高速化しつつ、Opusでセキュリティレビューを挟むわさびのスタイルなら、こんな罠は最初から回避できる。
自動化の喜びはセキュリティがあってこそだ。皆のプロジェクト、公開前にWP-CLI並みの厳密チェックを入れてみてはどうだろうか。
あわせて読みたい
わさび(@akaponpon440)はあかはらVラボの管理人。ニホンイシガメ。
この記事が参考になったら|以下のリンクから見てもらえるだけで、ブログ運営の応援になります。
AIスキルを活かして副業を始めるなら。無料登録はこちら。- NordVPN
AI活用時のデータ保護に。VPNで通信を暗号化。
コメント