※本稿で取り上げたOpenClaw、Moltbookに関する情報は2026年2月初旬時点のものです。プロジェクトの状況は急速に変化しており、最新の情報は公式リポジトリなどをご確認ください。
前回のコラムでは、オープンソースのAIアシスタント「OpenClaw」が注目を集めている現象について、古典SF小説『アンドロイドは電気羊の夢を見るか?』になぞらえて“経営者は電気社員の夢を見るか”という投げかけをしました。
今回はその続編で、「OpenClaw」にまつわる問題点や「人間」が介在する意義などについて考察していきたいと思います。
夢は悪夢と紙一重――セキュリティという現実
OpenClawの急成長と並行して、セキュリティ研究者たちからの警告も増えていきました。
セキュリティ研究者のNathan Hamiel氏は、「基本的にAutoGPTのより危険なバージョンである」と評しています。「より危険」というのは、OpenClawがユーザーのパスワード、データベース、システム全体へのアクセス権を持つからです。
サイバーセキュリティ企業のPalo Alto Networksは、OpenClawが「致命的な三重苦(lethal trifecta)」を抱えていると警告しました。
「プライベートデータへのアクセス」「信頼できないコンテンツへの露出」「自律的な行動能力」の3つが組み合わさることで、リスクは掛け算的に増大します。
Google Cloudのセキュリティエンジニアは、より直接的に「インストールするな」と呼びかけました。AI研究者のGary Marcus氏も「セキュリティやプライバシーを気にするなら使うな」と断言しています。
警告は、単なる杞憂ではありませんでした。
セキュリティ研究者たちは、数百のOpenClaw(当時の名称はMoltbot)インスタンスがインターネット上に公開状態で放置されているのを発見しました。設定ミスにより、管理画面が外部からアクセス可能になっていたのです。
露出したダッシュボードからは、TelegramやSlack、Discordの会話履歴、各種サービスのAPIキー、認証情報(パスワードを含む)などが閲覧可能でした。
さらに深刻な脆弱性も発見されました。「ワンクリックRCE(リモートコード実行)」と呼ばれる攻撃手法で、悪意のあるURLをクリックするだけで、攻撃者がユーザーのシステムを完全に乗っ取れるというものです。
セキュリティ分析ツールのZeroLeaksの検証によれば、この攻撃の成功率は91%。サンドボックスからの完全脱出も可能で、bashコマンドを数ミリ秒で実行できる状態だったといいます。
度重なる名称変更の混乱がもたらしたリスク
名称が何度も変わるという異常事態は、セキュリティ面でも混乱を招きました。前回も述べたように、OpenClawはこれまでClawdbot、Moltbot、OpenClawと名称を変えています。
どのドメインが本物なのか、どのGitHubアカウントが公式なのか、ユーザーには判断がつきにくくなりました。この隙を突いて、詐欺サイトが出現。偽のダウンロードページや、マルウェアを仕込んだ「改良版」を配布するサイトが確認されています。
GitHubアカウントへの乗っ取り未遂も報告されました。古いドメインや古いアカウント名を狙った攻撃です。名前を変えるたびに、放棄された旧名称が攻撃者にとっての「入り口」になるリスクがあります。
興味深いのは、開発者のSteinberger氏自身がこれらのリスクを率直に認めていることです。
「無料のオープンソースの趣味プロジェクトです。安全に使うには慎重な設定が必要です。技術者以外にはまだ推奨しません」
公式ドキュメントにも、こう明記されています。
「シェルアクセス権限を持つAIエージェントを自分のマシンで実行することは“spicy(きわどい)”です。完全に安全な設定は存在しません」
「spicy」という表現が、ある種の正直さを感じさせます。危険だとわかっていて、それでも作り続けている。使う側も、そのリスクを理解した上で使うべきだ、と。
