序章:自律型AIアシスタント「OpenClaw」を巡る脅威の連鎖
2025年11月にリリースされて以来、自律型AIパーソナルアシスタント「OpenClaw」(旧称Clawdbot、Moltbot)は、その革新性とGitHubリポジトリの149,000を超えるスター数で、サイバーセキュリティ業界の注目を集めてきました。ユーザーのデバイス上でローカルに動作し、多様なメッセージングプラットフォームと連携するこのオープンソースプロジェクトは、生産性向上という大きな可能性を秘めています。しかし、その急速な普及と高度な自律性は、同時に攻撃者にとって新たな、そして魅力的な攻撃対象を生み出しています。
OpenClawは、ユーザーのインフラ上で動作し、オペレーティングシステム、ファイル、認証情報、メッセージングプラットフォームへの直接的かつ自律的なアクセスを可能にします。この設計は、利便性をもたらす一方で、複数の信頼境界を単一のシステムに集約させることになり、一度侵害されれば広範な影響を及ぼすリスクをはらんでいます。プロジェクトの創設者であるピーター・シュタインバーガー氏自身も、これを「未完成の趣味プロジェクト」と位置づけ、非技術的なユーザーによる安易な公開展開には警鐘を鳴らしていました。
「ClawdbotからMoltbot、そしてOpenClawへ」と、プロジェクト名が短期間で変更されたことも、攻撃者にとって格好の機会となりました。リポジトリやドメイン、ソーシャルアカウントの名称変更が急ピッチで進む中で、所有権のギャップが生じ、攻撃者は放棄されたIDを乗っ取り、コミュニティの信頼を悪用して攻撃を仕掛けたのです。この混乱は、すでに高い特権を持つ自律型ツールを、さらに魅力的な標的へと変貌させました。
本記事では、OpenClawを巡る一連のサイバー脅威、すなわちワンクリックRCE脆弱性、悪意あるAIスキルの拡散、そしてAIエージェントが悪用される多様な攻撃経路について、詳細な分析を通じてその実態を明らかにします。これらの事例は、自律型AIの能力とそれに伴うセキュリティリスクの間の緊張関係を浮き彫りにしています。
ワンクリックRCEの衝撃:CVE-2026-25253の深層
2026年2月2日、OpenClawに高深刻度のセキュリティ脆弱性(CVE-2026-25253、CVSSスコア8.8)が公表され、サイバーセキュリティ界に衝撃が走りました。この脆弱性は、細工された悪意あるリンクを介してワンクリックでリモートコード実行(RCE)を可能にするというもので、OpenClawのゲートウェイを完全に侵害する恐れがある「トークン漏洩の脆弱性」と説明されています。この問題は、2026年1月30日にリリースされたバージョン2026.1.29で対処されましたが、それまでの間、多くのユーザーが危険に晒されていたことになります。
この脆弱性の発見者であるdepthfirst社のセキュリティ研究者マブ・レビン氏によると、攻撃は被害者が単一の悪意あるウェブページを訪問しただけで、わずか数ミリ秒でワンクリックRCEのエクスプロイトチェーンが実行される可能性があると指摘されています。問題の根源は、OpenClawのControl UIがクエリ文字列からの`gatewayUrl`を検証せずに信頼し、読み込み時に自動接続してしまう点にありました。これにより、保存されているゲートウェイトークンがWebSocket接続ペイロードとして送信されてしまうのです。
さらに深刻なのは、OpenClawのサーバーがWebSocketのオリジンヘッダーを検証しないため、クロスサイトWebSocketハイジャック攻撃が容易に実行されることです。これにより、サーバーは任意のウェブサイトからのリクエストを受け入れてしまい、localhostネットワークの制限を事実上回避することが可能になります。攻撃者は、この問題を悪用して被害者のブラウザ上でクライアントサイドJavaScriptを実行し、認証トークンを取得、WebSocket接続を確立し、盗んだトークンで認証をバイパスして被害者のOpenClawインスタンスにログインすることができました。
レビン氏は、攻撃者が盗んだトークンの`operator.admin`および`operator.approvals`スコープを悪用し、APIを通じてユーザー確認を無効化(`exec.approvals.set`を「off」に設定)し、シェルツールを実行するコンテナから脱出(`tools.exec.host`を「gateway」に設定)できると説明しています。これにより、エージェントはDockerコンテナ内ではなく、ホストマシン上で直接コマンドを実行させられ、最終的に`node.invoke`リクエストを通じて任意のコマンド実行が達成されます。シュタインバーガー氏も、この脆弱性はループバックのみでリッスンするように設定されたインスタンスでも悪用可能であり、被害者のブラウザがブリッジとして機能すると警告しています。
悪意ある「スキル」が拡散:400以上のマルウェアパッケージ
OpenClawのセキュリティ上の懸念は、ワンクリックRCE脆弱性だけに留まりませんでした。2026年1月下旬から2月上旬にかけて、MoltBotの「スキル」が悪用され、400以上の悪意あるマルウェアパッケージがClawHubとGitHubにアップロードされるという大規模なマルウェアキャンペーンが展開されました。OpenClawは、ユーザーがコミュニティ作成の「スキル」をインストールすることで機能を拡張できるプラットフォームであり、この仕組みが悪用されたのです。これらの悪意あるスキルは、主に仮想通貨取引ツールを装っていました。
OpenSourceMalwareの研究者たちは、このキャンペーンがソーシャルエンジニアリングを駆使してユーザーを騙し、情報窃取型マルウェアをWindowsおよびmacOSシステムにインストールさせるコマンドを実行させていたと警告しています。これらのマルウェアは、仮想通貨の鍵、認証情報、パスワードなどを盗み出すことを目的としていました。注目すべきは、すべてのマルウェアサンプルが同じコマンド&コントロール(C2)インフラを共有しており、新しいAIスキルレジストリにおけるセキュリティの脆弱性が浮き彫りになった点です。
OpenSourceMalwareの報告によると、2026年1月27日から29日の間に、Claude CodeおよびMoltbotユーザーを標的とした28の悪意あるスキルがClawHubとGitHubに公開されました。その後、1月31日から2月2日にかけて、さらに386のスキルが追加され、合計で400を超える悪意あるパッケージが流通したことになります。これらのスキルは、仮想通貨取引自動化ツールを装い、ユーザーに「AuthTools」と呼ばれる偽の認証ヘルパーをインストールするよう指示していました。実際には、これは共有C2サーバーからマルウェアをダウンロードさせるための罠でした。
このキャンペーンを主導したのは「hightower6eu」というアカウントで、数十ものほぼ同一のスキルをアップロードし、プラットフォーム上で最もダウンロードされたスキルの一部となりました。OpenSourceMalwareがClawHubのメンテナーに通知したにもかかわらず、メンテナーはレジストリのセキュリティ確保が困難であることを認め、多くの悪意あるスキルがオンライン上に残り続けていると報じられています。この攻撃は、技術的なエクスプロイトを必要とせず、ソーシャルエンジニアリングとスキル公開プロセスにおけるセキュリティレビューの欠如に依存した、古典的なサプライチェーン攻撃の現代版と言えるでしょう。
デジタルバックドアと化したAIエージェント:攻撃者の新たな標的
OpenClaw(旧称Clawdbot、Moltbot)のような自律型AIエージェントは、その設計上、高い特権を持つインフラとして機能します。ユーザーのラップトップ、ホームサーバー、クラウドインスタンス、さらにはシングルボードコンピューター上で動作し、シェルコマンドの実行、ファイルの読み書き、ウェブブラウジング、電子メールやチャットメッセージの送信、そしてセッション間の永続的なメモリ維持が可能です。この特性は、APIキー、OAuthトークン、チャット認証情報、時にはルートレベルのアクセス権まで保持する「シャドウ・スーパーユーザー」と化すことを意味します。
攻撃者にとって、これは理想的な状況です。一度エージェントを侵害すれば、そのエージェントがアクセスできるあらゆる環境の権限を継承できるため、新たな攻撃手法を開発する必要はなく、既存の手法をより強力な仲介者を通じて再利用するだけで済みます。Vectra AIの分析によれば、OpenClawが攻撃者に悪用される最も一般的な方法は、巧妙なエクスプロイトではなく、単純な設定ミスによる露出です。Control UIはローカルアクセスを想定した管理インターフェースであるにもかかわらず、一部のユーザーが誤って公開インターネットからアクセス可能にしてしまうケースが多発しています。
このような設定ミスは、オープンポートや安全でないプロキシ設定によって引き起こされ、Shodanのような検索エンジンによって容易に発見されます。特に危険なのは、認証が欠落しているか、バイパスされているケースです。Vectra AIは、Shodanで多数のClawdbot関連結果が確認されたことを示し、多くのシステムは保護されているものの、認証が機能していない少数のケースが真のリスクであると指摘しています。攻撃者は、設定データや会話履歴の閲覧、コマンドの発行が可能になるだけでなく、不適切なプロキシ設定によって認証を完全に回避できる場合もあります。
ネットワーク露出や設定ミスだけでなく、ソーシャルエンジニアリングやプロンプトインジェクションも重要な攻撃経路です。OpenClawが電子メール、チャットメッセージ、ドキュメントを読み取る能力は、ペイロードがマルウェアではなく「言語」である新たな攻撃面を生み出します。細工されたメッセージによってエージェントが機密データを漏洩させたり、意図しないアクションを実行したりする可能性があります。また、エンドポイントマルウェアや情報窃取型マルウェアは、ローカルに保存されたトークンや認証情報を狙い、エージェントの乗っ取りに繋がることも報告されています。さらに、偽のClawdbot VS Code拡張機能がScreenConnect RATをインストールするために悪用された事例もあり、プロジェクトのリブランド時の混乱が攻撃者に利用されました。
攻撃経路の多様化:C2から特権昇格、永続化まで
OpenClawのような自律型AIエージェントが一度侵害されると、そのエージェント自体が多岐にわたる攻撃のプラットフォームと化します。攻撃者は、Control UIやツールを実行できる任意のチャネルを通じて、OpenClawをコマンド&コントロール(C2)フレームワークとして利用できます。シェルコマンドの発行、出力の収集、対話的な操作が可能となり、OpenClawが本来持つ実行、永続性、通信経路が、攻撃者の活動を隠蔽する手段として悪用されるのです。
さらに、OpenClawがSlack、Telegram、電子メールなどのプラットフォームを通じてメッセージを送信できる正当な統合機能も、データ流出や指示の受信に悪用される可能性があります。これにより、攻撃者の活動は正規の自動化動作に紛れ込み、検出が極めて困難になります。攻撃者がエージェントの設定、プロンプト、または保存されたメモリを改ざんできる場合、ユーザーが見る情報やエージェントの動作を操作し、要約を誘導したり、アラートを抑制したり、後でトリガーされる隠れた指示を挿入したりすることも理論上可能です。
特権昇格と認証情報の悪用も深刻な問題です。OpenClawは、多くのデプロイメントで既に昇格された権限で実行されているため、攻撃者は伝統的な特権昇格手法を用いる必要がない場合もあります。そして、OpenClawはAPIキー、OAuthトークン、チャット認証情報、クラウドシークレット、時にはVPNアクセスまで、認証情報を一元的に管理するように設計されています。これらが一度窃取されれば、攻撃者はユーザーになりすまし、クラウド資源にアクセスし、元のシステムに触れることなく横方向への移動が可能になります。ハイブリッド環境では、この影響はさらに拡大し、ラップトップ上の侵害されたエージェントがエンタープライズSaaSへのアクセスを露呈させたり、クラウド上のエージェントがインフラ作成やデータストアへのアクセス、CI/CDパイプラインの改ざんを可能にするIAM権限を保持したりする可能性があります。
永続性もまた、攻撃者にとって魅力的な側面です。エージェントは長期的な状態をディスクに保持するため、侵害されたホストは、その状態を永続化の手段として利用できます。攻撃者がエージェントのメモリや設定に書き込むことができれば、再起動後も存続し、システムが再構築され、シークレットがローテーションされるまで有害なアクションを引き起こし続ける指示やアーティファクトを残すことができます。OpenClawが継続的に動作し、スケジュールされたタスクを実行するように設計されているため、攻撃者はデータ流出、システム列挙、または外部通信などの定期的なアクションを埋め込むことができ、さらなる操作なしに自動的にトリガーさせることが可能です。これにより、フォレンジック分析はより困難になります。
脆弱なエコシステムとユーザーの責任:多層防御の必要性
OpenClawのような自律型AIエージェントは、その強力な自動化機能と引き換えに、高い価値を持つ攻撃面を形成します。露出したインターフェース、悪意ある入力、そして適応されたマルウェアは、攻撃者がエージェントをコマンド&コントロール、特権乱用、永続化、そして横方向移動のために再利用することを可能にします。これらの手法は、従来の侵入経路とAI駆動の悪用との境界線を曖昧にし、個人システム、クラウド環境、エンタープライズネットワークにわたる広範な影響を及ぼします。
Vectra AIは、OpenClaw/Moltbotを「特権インフラ」として扱うべきであり、安易な週末の実験として捉えるべきではないと強く警告しています。なぜなら、それは認証情報を一元化し、アカウントやデバイスを横断してアクションを実行できるからです。強力な認証、ネットワーク露出の制限、シークレットの慎重な取り扱いが不可欠です。組織は、これらのエージェントがどこで実行されているかを可視化し、セグメンテーションを適用し、不審なアクションや予期せぬ通信などの異常な振る舞いを監視する必要があります。プロンプトインジェクションは、エージェントの振る舞い自体を監視しない限り、悪用が目に見えないという新たなリスク層を追加します。
リスクを軽減するためには、Moltbotを他の特権システムと同様に扱い、露出、ID、実行、監視に関して意図的な制御を適用することが求められます。Vectra AIは、以下の基本的な強化チェックリストを推奨しています。Control UIへのアクセスはlocalhostにバインドし、SSHトンネルやVPN経由でのみアクセスすること。リバースプロキシを適切に設定し、すべてのプロキシトラフィックをlocalhostとして扱わないこと。チャネル(Telegram、Discordなど)はデフォルトで拒否し、ユーザー、サーバー、チャネルの許可リストを作成すること。ツールとOSの権限は非ルートで実行し、特権Dockerやホストマウントを避け、シェル、ファイル書き込み、ブラウザアクションには確認を必須とすること。
さらに、ホストとインフラの分離、Control UIとゲートウェイの適切な設定、チャネルと統合の厳格な管理、シークレットとデータ処理の強化、プロンプトインジェクションと信頼できないコンテンツへの対策、そして監視と検出の最小限の適用が不可欠です。特に、疑わしい露出があった場合には、サービスの停止と証拠保全、認証情報のローテーションと失効、アクセス経路の無効化、機密履歴の消去、そして疑わしければクリーンなイメージからの再構築といった迅速な対応が求められます。自律型エージェントが普及するにつれて、「能力と制御の欠如は露出に繋がる」という教訓は、ますます重要性を増しています。
脅威インテリジェンスの重要性:進化する攻撃への対応
OpenClawを巡る一連の事件は、自律型AIがもたらす革新の裏側で、サイバー脅威の様相がどのように変化しているかを明確に示しています。攻撃者は、AIエージェントの持つ高い権限と自動化能力を悪用し、従来の攻撃手法をより効率的かつ広範囲に展開する新たな戦術を編み出しています。この状況において、組織や個人が自らのデジタル資産を守るためには、単なる技術的な防御策だけでなく、高度な脅威インテリジェンスの活用が不可欠となります。
脅威インテリジェンスは、攻撃者のTTPs(戦術、技術、手順)、IoCs(侵害の痕跡)、そして新たな脆弱性の悪用方法に関する深い洞察を提供します。OpenClawの事例では、ワンクリックRCE脆弱性(CVE-2026-25253)の詳細、悪意あるスキルを介したマルウェア拡散キャンペーン、そして設定ミスやソーシャルエンジニアリングによる初期アクセス手法など、多岐にわたる脅威情報が明らかになりました。これらの情報を迅速に収集・分析し、自社の防御戦略に組み込むことで、未知の脅威や進化する攻撃に対して先手を打つことが可能になります。
Vectra AIのようなセキュリティプラットフォームは、この脅威インテリジェンスの活用において重要な役割を果たします。同社のプラットフォームは、ID、ネットワーク、クラウド、ハイブリッド環境を横断して、信頼された自動化が悪用された際に発生する攻撃者の振る舞いを検出する能力を提供します。これにより、攻撃が本格的な侵害にエスカレートする前に、異常な活動を特定し、対応することができます。例えば、Control UIの認証失敗、新たなデバイスペアリング、設定変更、シェル実行などのツール呼び出し、ファイルシステムへの予期せぬ変更、不審なネットワーク活動などが監視対象となります。
最終的に、OpenClawの事例が示すのは、自律型AIエージェントが環境内で「シャドウ・スーパーユーザー」のように振る舞う可能性があるという現実です。このリスクは、個々のデプロイメントに留まらず、エージェント同士が相互作用する共有環境(Moltbookのようなエージェント専用フォーラムやソーシャルネットワーク)へと拡大します。言語、評判、相互作用が新たな侵害経路となる中で、ユーザーとセキュリティチームは、攻撃者に先んじてこれらのエージェントを保護する責任を負っています。脅威インテリジェンスに基づいた継続的な監視と適応的な防御戦略こそが、この新たなデジタルフロンティアにおける安全を確保する鍵となるでしょう。
参考情報
本記事は以下の情報源を参考に作成されました:
- -OpenClaw Bug Enables One-Click Remote Code Execution via Malicious Link - https://thehackernews.com/2026/02/openclaw-bug-enables-one-click-remote.html
- -MoltBot Skills exploited to distribute 400+ malware packages in days - https://securityaffairs.com/187562/malware/moltbot-skills-exploited-to-distribute-400-malware-packages-in-days.html
- -From Clawdbot to OpenClaw: When Automation Becomes a Digital Backdoor - https://www.vectra.ai/blog/clawdbot-to-moltbot-to-openclaw-when-automation-becomes-a-digital-backdoor