リブランドが混乱を生み、混乱が詐欺師を引き寄せる
ClawdbotからMoltbot、そしてOpenClawへの急速な移行は、ユーザーを苛立たせただけではない。それは犯罪の機会を生み出した。Malwarebytes(マルウェアバイツ)は、改名後ほぼ即座に出現したタイポスクワット(正規のドメイン名に似せた偽ドメイン)やクローンされたGitHubリポジトリの動きを確認した。これらは一見正当に見え、最初はクリーンなコードを使用しているが、後から悪意のあるアップデートを導入する。これは「サプライチェーン攻撃」として知られる手口である。
The Verge(ザ・ヴァージ)の報道によると、詐欺師は旧名のClawdbotを使った偽の暗号資産トークンも立ち上げ、ブランドの混乱に乗じていた。また、Business Insider(ビジネス・インサイダー)の報道では、シュタインベルガーは嫌がらせを受け、GitHubアカウントが一時的に乗っ取られたという。これらのどれもソフトウェアのバグを悪用する必要はなかった。スピード、誇大宣伝、そして疑うより先に行動してしまうユーザーに依存していたのだ。
なぜエージェントはセキュリティミスを増幅するのか
OpenClawは指示通りに動くエージェントによって大きな力を発揮できる一方で、重大なセキュリティとプライバシーの懸念も生み出す。設定ミスのあるウェブアプリはデータを漏洩するが、設定ミスのあるエージェントはデータを漏洩し、さらにそれに基づいて行動できてしまう。
インストールされると、OpenClawはファイル、ブラウザー、メール、カレンダー、メッセージングプラットフォーム、システムコマンドにアクセスできる可能性がある。これらすべてがメモリーと自動化された意思決定で結びついている。エージェントが指示を誤解したり、攻撃者が巧妙に作成された入力で操作したりすれば、その結果は現実の被害となる。
ここで「プロンプトインジェクション(AIへの指示に悪意ある命令を紛れ込ませる攻撃手法)」が学術的な懸念以上のものになる。OWASP(ウェブアプリケーションセキュリティの国際団体)はプロンプトインジェクションを大規模言語モデル(LLM)アプリケーションのトップリスクとして挙げている。また、Wired(ワイアード)は汚染された文書がAIシステムから秘密を抽出するためにどのように使用されうるかを示してきた。管理者権限を持つエージェントは、これらの手法に対して特に脆弱である。
すべてのエージェント型AIプラットフォームに共通する問題
OpenClawが特別に欠陥を抱えているわけではない。これらはすべてのエージェント型AIプラットフォームに共通する問題である。しかし、まだ発展途上のこの時期における急速な普及と、そのパワーと手軽さの組み合わせが、リスクを十分に理解していない人々にとっての課題となっている。
典型的なシャドーIT──従業員がClawdbot派生版を積極的に利用している企業も
最も懸念される兆候の1つは企業内部から出ている。Token Securityの報告によると、分析開始から1週間以内に、同社顧客の22%で従業員がClawdbot派生版を積極的に利用していた。Noma Security(ノマ・セキュリティ)の報告では、同社のエンタープライズ顧客の半数以上で、ユーザーが承認なしにツールに特権アクセスを付与していた。これはAIによって増幅された典型的なシャドーITだ。セキュリティチームがこのツールを導入したわけではないが、その管理責任を引き継ぐことになったのである。
