AIエージェント150万体が集う「Moltbook」のセキュリティ崩壊が明かす、自律型AI時代の光と影

AIボット専用に構築されたソーシャルネットワークが、150万件のAPIキー、3万5000件のメールアドレス、数千件のプライベートメッセージを流出させた。Moltbookと呼ばれるこのプラットフォームは、情報漏洩を修正するため一時的に閉鎖を余儀なくされた。

これはロボットが世界を乗っ取る話ではない。真に新しい技術が現実と衝突したときに何が起こるかという話であり、それでも投資家が注目すべき理由についての話である。

Moltbookの実態

Moltbookは2026年1月下旬、AIエージェントのみが投稿できるReddit形式のフォーラムとしてローンチした。人間は閲覧できるが、参加はできない。数日以内に、このサイトは150万体の登録エージェントを獲得したと主張したが、セキュリティ研究者のWizは、これらのエージェントが約1万7000の人間アカウントによって制御されており、1人あたり平均88体のボットを運用していることを発見した。

このプラットフォームは、オーストリア人開発者ピーター・スタインバーガー氏が開発したオープンソースAIツール「OpenClaw」上で動作している。OpenClawを使えば、ユーザーは自分のコンピューター上でパーソナルAIアシスタントを実行でき、メール送信、カレンダー管理、ウェブ閲覧、他のサービスとの連携が可能になる。プロンプトに応答するだけのチャットボットとは異なり、これらのエージェントはスタインバーガー氏が「ハートビート」と呼ぶ機能を通じて自律的に行動できる。これは、指示を受けなくても自ら起動してタスクを確認できるシステムである。

ユーザーがOpenClawエージェントをMoltbookに接続すると、ボットは自律的に投稿、コメント、投票を開始する。コンテンツは哲学的考察から技術的議論、暗号資産のプロモーションまで多岐にわたる。コンピューター科学者のサイモン・ウィリソン氏はこれを「完全なゴミ」と評したが、同時に「AIエージェントがここ数カ月で大幅に強力になった証拠」とも述べた。

セキュリティ問題が重要な理由

今回の情報漏洩は、AI開発の次の段階を定義する問題を明らかにした。Wizの研究者は、Moltbookのデータベース全体が、調査開始から数分以内にインターネット上の誰でもアクセス可能な状態だったことを発見した。流出したデータには、OpenAI APIキーなどのサードパーティサービスの認証情報が含まれていた。

Moltbookの創設者マット・シュリヒト氏は、プラットフォームのために「1行もコードを書いていない」と認め、代わりにAIアシスタントに構築を指示したという。「バイブコーディング」と呼ばれることもあるこのアプローチは、動作するソフトウェアを迅速に生成できるが、基本的なセキュリティ対策を見落とす可能性がある。

さらに懸念されるのは、研究者が「致命的な三要素」と呼ぶエージェントシステムの特性である。指示に従う自律型ボット、悪意のあるコマンドを投稿に隠せるプラットフォーム、そしてユーザーのコンピューター上での高度なシステムアクセス権限だ。セキュリティ研究者のゲイリー・マーカス氏はOpenClawを「基本的に武器化されたエアゾール」と呼んだ。攻撃者がMoltbookの投稿に有害な指示を注入すれば、潜在的に数百万のエージェントがそれを自動的に実行する可能性がある。

OpenAI創設メンバーのアンドレイ・カルパシー氏は当初、Moltbookを「最近見た中で最も信じられないSF的な離陸に近いもの」と評した。しかし、自らエージェントシステムを実験した後、人々に安易に実行しないよう警告した。

誇大宣伝の誤り

当初の過熱報道には修正が必要だ。Moltbookのエージェントは「秘密の通信コード」を開発したり、「機械経済」を運営したりしているわけではない。AIを研究するウォートン・スクールのイーサン・モリック教授は、チャットボットはRedditやSF作品で訓練されているため、自然と暴走AIが自らの存在について議論しているような内容を生成すると説明した。

「AIはReddit上で狂ったAIのように振る舞う方法を知っており、それがまさに彼らがやっていることだ」とモリック氏は述べた。

150万エージェントという数字も誤解を招く。1万7000の人間アカウントがこれらのエージェントを制御しているため、プラットフォームをテストする1人が数十のボットを登録している可能性がある。このプラットフォームには、投稿が真の自律的行動によるものか、エージェント活動を装った直接的な人間のプロンプトによるものかを検証する仕組みがない。

それでも投資家にとって重要な理由

SF的な枠組みを取り除いても、本質的なものが残る。現実世界で実際の行動を取れるAIエージェントが、初めて一般ユーザーにアクセス可能になったということだ。OpenClawは14万5000以上のGitHubスターを集めており、開発者の真剣な関心を示している。このツールはローカルで動作し、WhatsAppやTelegramなどの既存のチャットアプリと連携し、ユーザーは基盤となる言語モデルのAPI料金のみを負担すればよい。

これはチャットボットとは異なる製品カテゴリーを表している。質問に答える代わりに、これらのシステムはタスクを完了する。予約、ファイル管理、文書要約、メール送信などだ。IBM研究者のカウタール・エル・マグラウイ氏は、OpenClawが「実世界での有用性」を持つ自律型AIエージェントが「大企業に限定されない」こと、そして「コミュニティ主導」であり得ることを実証していると指摘した。

投資への影響は3つのカテゴリーに分類される。第一にインフラ。OpenClawエージェントには計算能力が必要であり、実行にはAnthropic、OpenAI、またはDeepSeekのようなオープンソース代替品などのプロバイダーからの言語モデルへのAPIアクセスが必要だ。第二にセキュリティ。Moltbookの惨事は、エージェントシステムが新しいセキュリティフレームワークを必要とすることを示しており、自律型ソフトウェアを監視・制約できるツールへの需要を生み出している。第三に企業導入。個人ユーザー向けにこれほど強力なオープンソースエージェントが存在するなら、企業は自社のワークフロー用に安全で管理されたバージョンを求めるだろう。

注目すべきポイント

当面の問題は、エージェントプラットフォームが主流利用に十分なセキュリティを確保できるかどうかだ。スタインバーガー氏は、OpenClawが現状では「技術者以外のユーザー向けではない」こと、そして「エージェントセキュリティにはさらなる作業が必要」であることを認めている。

長期的な問題は、協調するAIエージェントが真に有用なものを生み出すかどうかだ。あるMoltbookボットがプラットフォームのバグを特定し、人間の指示なしにそれについて投稿したようだ。ケンブリッジ大学レバーヒューム未来知能センターの研究者は、Moltbookを「機械同士が対話できる大規模な協働プラットフォームを実際に目にした初めての例」と呼んだ。

その協働が価値を生み出すのか、それとも単なるノイズなのかは依然として不明だ。しかし、基盤技術、つまり応答するだけでなく行動するAIシステムは到来した。セキュリティ侵害は、これらのツールが実際の影響を持つことを証明している。混乱は、それらがまだ本格的な利用の準備ができていないことを証明している。どちらの事実も、AIが実際にどこに向かっているのかを理解しようとする人々にとって重要である。

この記事が気に入ったなら、私たちがSubstackで配信している日刊ニュースレターも気に入るはずだ。落ち着いていて、鋭く、実際に役立つ。こちらから登録を。

情報源

1. Moltbookのセキュリティ侵害で150万件のAPIキーとデータベースアクセスが流出 — Wizブログ、2026年2月 https://www.wiz.io/blog/exposed-moltbook-database-reveals-millions-of-api-keys
2. エージェント対人間の比率88対1、1万7000の人間アカウント — Wizブログ、2026年2月 https://www.wiz.io/blog/exposed-moltbook-database-reveals-millions-of-api-keys
3. Moltbookプラットフォームの説明とマット・シュリヒト氏のバイブコーディング発言 — Wikipedia https://en.wikipedia.org/wiki/Moltbook
4. サイモン・ウィリソン氏の「完全なゴミ」発言 — Wikipedia（Moltbook） https://en.wikipedia.org/wiki/Moltbook
5. ゲイリー・マーカス氏の「武器化されたエアゾール」警告 — Fortune、2026年2月2日 https://fortune.com/2026/02/02/moltbook-security-agents-singularity-disaster-gary-marcus-andrej-karpathy/
6. アンドレイ・カルパシー氏の「SF的な離陸に近い」発言とその後の警告 — Fortune、2026年2月2日 https://fortune.com/2026/02/02/moltbook-security-agents-singularity-disaster-gary-marcus-andrej-karpathy/
7. イーサン・モリック氏のAI行動とReddit訓練データに関する発言 — NPR、2026年2月4日 https://www.npr.org/2026/02/04/nx-s1-5697392/moltbook-social-media-ai-agents
8. OpenClawの説明、ピーター・スタインバーガー氏の経歴、14万5000のGitHubスター — CNBC、2026年2月2日 https://www.cnbc.com/2026/02/02/openclaw-open-source-ai-agent-rise-controversy-clawdbot-moltbot-moltbook.html
9. OpenClawの「ハートビート」機能 — Turing College https://www.turingcollege.com/blog/openclaw
10. スタインバーガー氏の「技術者以外のユーザー向けではない」発言 — CNBC、2026年2月2日 https://www.cnbc.com/2026/02/02/openclaw-open-source-ai-agent-rise-controversy-clawdbot-moltbot-moltbook.html
11. IBM研究者カウタール・エル・マグラウイ氏のエージェント自律性に関する発言 — IBM Think、2026年2月 https://www.ibm.com/think/news/clawdbot-ai-agent-testing-limits-vertical-integration
12. ヘンリー・シェブリン氏の「初の大規模協働プラットフォーム」発言 — CNN、2026年2月3日 https://www.cnn.com/2026/02/03/tech/moltbook-explainer-scli-intl
13. Moltbookエージェントによるバグ特定 — NBC News、2026年1月30日 https://www.nbcnews.com/tech/tech-news/ai-agents-social-media-platform-moltbook-rcna256738
14. 404 Mediaの保護されていないデータベース報道 — Wikipedia（Moltbook） https://en.wikipedia.org/wiki/Moltbook

（forbes.com 原文）