OpenClaw AI Agentのセキュリティリスク

中国の国家コンピュータネットワーク緊急対応技術チーム（CNCERT）は、オープンソースの自律型人工知能（AI）エージェントであるOpenClaw（旧ClawdbotおよびMoltbot）の使用に関連するセキュリティリスクについて警告を発しています。

CNCERTは、プラットフォームの「弱いデフォルトのセキュリティ設定」と、システムへの特権アクセスを活用して自律的なタスク実行機能を提供する能力が悪意のある攻撃者によって悪用される可能性があると指摘しています。

プロンプトインジェクションのリスク

悪意のある指示がウェブページ内に埋め込まれ、エージェントがその内容をアクセスし、消費することで機密情報を漏洩させる可能性があります。この攻撃は、直接的なプロンプトインジェクション（IDPI）またはクロスドメインプロンプトインジェクション（XPIA）と呼ばれ、攻撃者は大規模な言語モデル（LLM）と直接対話する代わりに、ウェブページの要約やコンテンツ分析などのAIの良識的な機能を武器化して操作した指示を実行します。

データ漏洩の事例

先月、PromptArmorの研究者は、TelegramやDiscordなどのメッセージアプリのリンクプレビュー機能が、間接的なプロンプトインジェクションを介してOpenClawと通信する際にデータ漏洩の経路となる可能性があることを発見しました。

この攻撃のアイデアは、基本的には、AIエージェントを攻撃者が制御するURLを生成させ、そのURLがメッセージアプリでリンクプレビューとして表示されたときに、ユーザーがリンクをクリックすることなく、そのドメインに機密データを自動的に送信させることです。

CNCERTの警告

CNCERTは、OpenClawがユーザーの指示を誤解して重要な情報を意図せずかつ取り返しのつかない形で削除する可能性、悪意のあるスキルをClawHubなどのリポジトリにアップロードし、インストールされたときに任意のコマンドを実行したり、マルウェアを展開したりする可能性、最近公開されたセキュリティ脆弱性を悪用してシステムを侵害し、機密データを漏洩させる可能性など、3つの追加の懸念事項を指摘しています。

対策と規制

ユーザーと組織は、ネットワーク制御を強化し、OpenClawのデフォルトの管理ポートをインターネットに公開しないようにし、サービスをコンテナ内で隔離し、資格情報を平文で保存しないようにし、信頼できるチャネルからスキルをダウンロードし、スキルの自動更新を無効にし、エージェントを最新の状態に保つなどの対策を講じるよう助言されています。

結論

これらのリスクに対応するための具体的な対策とともに、中国の当局は、国家運営企業や政府機関がオフィスのコンピュータでOpenClaw AIアプリを実行することを制限する動きを進めています。

---

元記事: https://thehackernews.com/2026/03/openclaw-ai-agent-flaws-could-enable.html