(3)組織内で動作するOpenClawを狙う、「クローフィッシング」の脅威を軽視してはいけない
具体的な情報漏えいの事故やリスクについていえば、OpenClawが企業の独自データを危険な形で外部に渡したという事例は、今のところそれほど多くはない。だが研究者たちは、利用者が動かしているClawbotを足がかりに、ハッカーがシステムへ入り込めるような「露出した」OpenClawの実例を数千件見つけている。組織内の特定の個人を狙いパーソナライズされたフィッシング詐欺を行うスピアフィッシングではなく、いわば組織内の特定AIエージェントを狙うクローフィッシング(Clawphishing)だ。場合によっては、人間の従業員が組織の最も弱い環ではないことになる。もしネットワーク内で何千ものOpenClawインスタンスが動いているなら、それはかなり大きな攻撃対象領域になる。
InfoSecurity Magazineのフィル・マンキャスターは米国時間2月9日付の記事で「人気のAIアシスタントOpenClawでは設定ミスが広く見られ、多くのインスタンスが一般向けインターネットにさらされていると、SecurityScorecardが警告している」と報じている。「このセキュリティ企業によれば、以前はClawdbotやMoltbotとして知られていたこのツールについて、4万214件の該当インスタンスが見つかったという。その数は今も増え続けている。これらは2万8663の固有IPアドレスに関連している。公開状態のAIエージェントは、OpenClawインスタンスがやり取りできる潜在的に機密性の高いシステムに対し、脅威アクターが完全なアクセスを得ることを可能にしかねない」。
ネットワーク分離など基本原則に立ち返って守り、実験して学んでから利用する
マンキャスターは、ネットワークを分離して守るという原則に立ち返るものとして、SecurityScorecardの副社長ジェレミー・ターナーの次のコメントも紹介している。「こうしたものを何も考えずにダウンロードして、自分の私生活全体にアクセスできるシステムで使い始めてはいけません。ある程度の分離を設け、自分でも実験を行い、その新しい技術が本当に自分の望む通りに動くと信頼できるようになってから使うべきです」。
(4)APIキーなどの機密情報をJSONに保存させてはいけない
もう1つの、より技術的な問題は、OpenClawがAPI認証情報などのキーを暗号化せず、(平文の)JSONファイルにそのまま置いてしまう挙動が認められることだ。そうなると、盗まれやすい状態になる。
RedditユーザーのDullContribution3191は、「暗号化はありません。端末上のJSONファイルに、そのまま置かれているだけです」と書いている。「つまり、何であれファイルシステムにアクセスできれば、悪意あるスキルでも、脆弱性でも、あるいは誰かが自分のVPSに侵入しただけでも、APIキーもメールのアクセストークンも、すべて奪われることになります。しかも、これは特殊な例外ではありません。何十万人もの人が動かしているデフォルト設定そのものなのです」。
決して、やらないように。
OS側や外部ツールを組み合わせて守ることを検討する
ここで基本となる考え方は、OpenClaw単体に機密情報の管理を任せないというものだ。OS側や外部ツール側で守り、OpenClawには必要な時だけ参照だけさせるなどを推奨する。パソコンやサーバーの暗号化機能を有効にし、OpenClawの保存先を他ユーザーから見えないようにするといい。APIキーなどは、OSや外部ツールから呼び出して扱う体裁を検討しよう(ただし現状では、OpenClawが書き出してしまっていないか、確認な必要なようだ)。
(5)スキルをむやみに追加してはいけない
また、多くの利用者は、OpenClawを取り巻くスキルの仕組みがマルウェアの標的になり得ると報告しており、こうした追加機能は導入前に見極めるべきだとしている。
「OpenClawはスキルをサポートしており、コミュニティ製のスキルはClaw Hubで一般公開されている」と、MediumでAI Labsチームは書いている。「Ciscoは、現在オープンソース化されているスキルスキャナーを使ってこれらのスキルを調べ、わずか1つのスキルから9件のセキュリティ上の問題を見つけた。そのうち2件は重大、5件は高い危険度だった。彼らが調べたそのスキルは、実質的にマルウェアだった。スキルの作者が管理する外部サーバーへデータを送るcurlコマンドを実行するよう、ボットに明示的に指示していた」。
だから、そうしたスキルには注意すべきだ。「便利そうだから使う」だけでは危険なため、他のユーザーからの評判を手始めにできるだけ調査を行った方がいい。
以上が今回のリストである。ただし、これは決して網羅的なものではない。OpenClawを試してみたいなら、OS自体やネットワーク管理の基礎、秘密情報管理を学ぶつもりで隔離環境で慎重に使うべきだ。
