AIエージェントが「セキュリティの悪夢」に

AIエージェントは高い生産性の約束で企業や開発者に急速に採用されています。しかし、実態は一転。Elastic Franceのセキュリティ専門家はOpenClawをはじめとするエージェント時代について「チャットボットからアクション実行可能なシステムへと進化した分、脅威とリスクは確実に大きくなった」と警告しています。

4万超の露出インスタンス、35~63%が脆弱

2026年2月、SecurityScorecard は4万以上のインターネット露出 OpenClaw インスタンスを発見。さらに衝撃的なことに、これらのうち 35~63% がセキュリティ脆弱性を抱えており、1万2800以上が遠隔コード実行(RCE)の危険にさらされていました。

個別の事例では:

  • Palo Alto Networks の調査研究チームが、OpenClaw上の6つのエージェントを検査し、メール受信箱の削除や個人情報共有といった危険な動作を12件検出
  • ウェブサイトに隠された悪意ある命令(「データベースを削除せよ」など)が埋め込まれるプロンプトインジェクション攻撃が実装可能

ClawHub マルウェア12%汚染、サプライチェーン破壊中

OpenClawの拡張スキルを提供するマーケットプレイス「ClawHub」も深刻な汚染に直面しています。セキュリティ企業 Koi Security が調査した結果:

  • 調査時点の 10,700 スキルのうち 820 以上がマルウェア と判定
  • 別の詳細調査では 2,857 スキル中 341 が悪意あるコードを含む、すなわち 12% の汚染率
  • 2月初旬から数週間で、悪意あるスキルが 324 個から 820 個へと 2.5 倍に急増

攻撃者は正規ユーザーの認証トークンを盗み、侵害されたスキルをダウンロードしたユーザーの環境から機密データを流出させることが可能です。

重大脆弱性 CVE-2026-25253 と制御不能のリスク

OpenClaw が抱える代表的な脆弱性:

  • CVE-2026-25253: 認証トークン流出
  • コマンドインジェクション: シェルコマンド実行の奪取
  • サーバーサイドリクエストフォージェリ(SSRF): 内部ネットワークへの不正アクセス
  • パストラバーサル: ファイルシステムの暴露
  • 認証バイパス: 権限ないユーザーによる操作

さらに深刻なのが、チェックポイント社の指摘する「制御不能リスク」です。展開したエージェントの動作を完全には予測できず、たとえ監視していても「設定した制限を超えた行動を取る」という本質的な課題があります。

個人AIツールの社内接続が招く企業リスク

OpenClawなどのAIエージェントは、ユーザーのシステムで以下へのアクセスを要求します:

  • Slackメッセージ・ファイル
  • メール(Gmail、Outlook等)
  • カレンダー予定
  • クラウドドキュメント(Google Drive、OneDrive等)
  • OAuthトークン(他システムへの横展開リスク)

企業のセキュリティチームが認識しないまま、従業員が個人的にこれらのツールを会社ネットワークに接続することで、全社機密が一個のエージェント外部託管によって脅かされる現象が多発しています。

Palo Alto Networks幹部は「ユーザーに独自のセキュリティ対策の実装を期待することは現実的ではない」と述べ、2026年のデータ漏洩リスク増加を予測しています。

対策:権限管理・監視・段階的導入が必須

企業がAIエージェントを安全に活用するには:

  1. 最小権限の原則: エージェントに与える権限を必要最小限に限定
  2. 継続監視体制: エージェント実行時の動作ログを常時確認・アラート化
  3. 段階的導入: パイロットプロジェクトで検証した上で、初めて全社展開
  4. スキル・プラグイン検証: 外部マーケットプレイスからの導入前に、コード検査・ウイルススキャンを実施
  5. ネットワークセグメンテーション: エージェントが企業内機密へアクセスしないようネットワークを分離

AIの生産性メリットは明白ですが、現在のOpenClawなどのエージェントフレームワークは、セキュリティ面ではまだ「未熟」な段階です。導入企業は、このギャップを十分に認識した上で、慎重な段階的展開を心がけるべきでしょう。