新しい調査では、研究者が重大な脆弱性、マルウェアに感染した拡張機能、そして攻撃者がデータを盗んだりシステムを乗っ取ったりできるプロンプトインジェクションのリスクを発見したことを受けて、Openclawがシステム的なセキュリティ崩壊に直面していると警告しています。
Web3セキュリティ企業Certikによる3月31日の調査は、Openclawにおける「システム的な崩壊」とでも言うべき、セキュリティ境界の不全を暴きました。Openclawはオープンソースの人工知能(AI)プラットフォームです。数か月で30万を超えるGithubスターに駆け上がったにもかかわらず、同フレームワークにはわずか4か月で100件超のCVEと280件のセキュリティ勧告が蓄積されており、研究者らはこれを「無制限(unbounded)」な攻撃対象面と呼んでいます。
この報告書は、根本的なアーキテクチャ上の欠陥を指摘しています。Openclawは当初、「信頼されたローカル環境」のために設計されました。しかし、プラットフォームの人気が爆発的に高まるにつれ、ユーザーはインターネットに面したサーバー上でそれを運用し始めました。ところが、その移行はソフトウェアが想定していなかったのです。
調査報告によれば、研究者らはユーザーデータを危うくするいくつかの高リスクな失敗ポイントを特定しました。その中には重大な脆弱性CVE-2026-25253が含まれており、攻撃者が完全な管理者権限を奪取できるようになります。攻撃者は、ユーザーに悪意のあるリンクを1つクリックさせることで、認証トークンを盗み、AIエージェントを乗っ取ることができます。
一方で、グローバルなスキャンにより、82か国にわたってインターネットに公開されたOpenclawのインスタンスが135,000件超見つかりました。これらの多くでは認証がデフォルトで無効化されており、APIキー、チャット履歴、機密の資格情報が平文のまま漏えいしていました。報告書はさらに、ユーザーが共有する「スキル」のための同プラットフォームのリポジトリがマルウェアに侵入されており、数百にのぼるこれらの拡張機能には、保存されたパスワードや暗号資産ウォレットを吸い上げるための情報窃取(infostealers)が同梱されていたと主張しています。
加えて、攻撃者は現在、悪意のある指示をメールやWebページの中に隠しています。AIエージェントがこれらの文書を処理することで、ユーザーの知るところなく、ファイルの持ち出し(exfiltrate)や不正なコマンドの実行を強制される可能性があります。
「Openclawは、大規模言語モデルが孤立したチャットシステムで止まらず、現実の環境の中で動き始めると何が起きるのかを示すケーススタディになりました」とPenligentの主要監査人は述べました。「それは、典型的なソフトウェア欠陥を、高度に委任された権限を持つランタイムへと集約し、たった1つの不具合がもたらす被害範囲を巨大なものにします。」
これらの調査結果を受けて、専門家は開発者とエンドユーザーの双方に対し「セキュリティ優先」のアプローチを強く促しています。開発者に対しては、調査が、初日から正式な脅威モデルを確立し、厳格なサンドボックス分離を徹底し、AIが生成したサブプロセスが引き継ぐのは低権限で不変の権限のみであることを保証するよう推奨しています。
企業ユーザーに対しては、セキュリティチームがエンドポイント検知・レスポンス(EDR)ツールを使って、企業ネットワーク内にある許可されていないOpenclawのインストールを特定するよう促されています。とはいえ、個人ユーザーには、生産データにアクセスできないサンドボックス環境でのみツールを実行することが推奨されています。最も重要なのは、既知のリモートコード実行(RCE)上の欠陥を修正するために、ユーザーが2026.1.29以降へアップデートしなければならないという点です。
Openclawの開発者が最近、アップロードされたスキルをスキャンするためにVirustotalと提携したことについても、Certikの研究者はこれを「万能の解決策(silver bullet)」ではないと警告しています。プラットフォームがより安定したセキュリティ段階に到達するまで、業界のコンセンサスは、そのソフトウェアを本質的に信頼できないものとして扱うことです。
