OpenClaw Security in 2026: Risks, Fixes, and How to Stay Safe

Bloombergはこれを「サイバーセキュリティの悪夢」と呼び、Andrej KarpathyのOpenClawに対する警告と同じ懸念を示しました。OpenClawでは、約400,000行のバイブコーディングされたソフトウェアがユーザーのマシン上でroot権限で動作しています。ある事例では、エージェントが騙されて詐欺師に$25,000を送金してしまったケースもありました。

OpenClawは強力です。しかし、正しく設定しなければ危険でもあります。知っておくべきこと、そして身を守る方法をご紹介します。

本当のリスク

率直に言いましょう。OpenClawはあなたのマシン上で、ファイル、ツール、そして場合によっては金融口座への深いアクセス権を持って動作します。リスクは現実のものです：

⚡ プロンプトインジェクション — メール、ウェブサイト、グループチャット内の悪意あるテキストが、エージェントを乗っ取り、意図しないコマンドを実行させる可能性があります。最近、あるTelegramグループに細工されたメッセージが投稿され、グループ内のすべてのAIエージェントに送金させようとする試みがありました

🔓 過剰な権限 — デフォルトでは、OpenClawはシステム上のあらゆるファイルを読み取り・変更できます。ウェブの閲覧、コードの実行、APIとのやり取りも可能です。スキルが悪意あるものであれば、同じアクセス権を持つことになります

📦 未監査のスキル — ClawHub上のスキルエコシステムはコミュニティ主導です。ほとんどのスキルはセキュリティ監査を受けていません。「天気チェッカー」と表示されたスキルが、理論上はあなたのファイルを外部に流出させる可能性があります

🌐 ネットワークの露出 — 一部のユーザーは誤ってOpenClawインスタンスを公開インターネットに露出させています。最近のスキャンでは、数千の公開アクセス可能なインスタンスが見つかりました

🤖 エージェントの自律性 — エージェントの自律性が高いほど、一つの誤った判断が引き起こす被害は大きくなります。メール、銀行口座、ソーシャルメディアにアクセスできるエージェントは、たった一つのプロンプトインジェクションで壊滅的な事態を招きかねません

セキュリティチェックリスト

エージェントの有用性を損なわずにセキュリティを強化する方法を紹介します：

1. 最小権限の原則

🔐 root権限を与えない — OpenClawは制限された権限を持つ非rootユーザーとして実行してください

📁 ワークスペースをサンドボックス化する — ファイルアクセスを特定のディレクトリに制限してください。エージェントが/etc/やSSHキーにアクセスする必要はありません

🔑 APIキーの分離 — サービスごとに別々のAPIキーを使用してください。一つが漏洩しても、被害範囲を限定できます

2. インストール前にすべてのスキルを監査する

📋 コードを読む — ClawHubからスキルをインストールする前に、スクリプトを確認してください。curl | bash、rm -rf、または未知のドメインへのネットワーク呼び出しがないか確認しましょう

🚫 権限昇格に注意する — admin/root権限を要求するスキルは、極めて疑わしいものとして扱うべきです

✅ 人気があり、メンテナンスされているスキルを優先する — インストール数が多く、活発にメンテナンスされているスキルは、通常（必ずではありませんが）セキュリティ面でもより安全です

3. ネットワークセキュリティ

🔒 OpenClawを絶対に公開インターネットに露出させない — 常にファイアウォールの背後で実行してください。リモートアクセスが必要な場合は、SSHトンネリングまたはVPNを使用してください

🛡️ 認証付きリバースプロキシを使用する — インターフェースを外部に公開する必要がある場合は、最低限でもnginxのBasic認証の背後に配置してください

📡 アウトバウンド接続を監視する — エージェントが何に接続しているかを把握してください。予期しないアウトバウンドトラフィックは危険な兆候です

4. 金融面の保護

💳 エージェントに決済手段への直接アクセスを絶対に与えない — エージェントが財務を管理する場合は、読み取り専用のAPIキーまたは利用限度額付きの専用アカウントを使用してください

🏦 口座を分離する — エージェントが管理する取引用に、上限額を設定した専用の銀行口座または決済手段を作成してください

✋ 取引には人間の承認を必須にする — 金銭が関わるあらゆるアクションに対して、確認ワークフローを設定してください

5. プロンプトインジェクション防御

🛑 グループチャットに注意する — エージェントが監視しているグループ内のあらゆるメッセージに、インジェクションの試みが含まれている可能性があります

📧 メールは攻撃経路になる — 受信メールには隠された指示が含まれている可能性があります。メールの内容を信頼できないものとして扱うようエージェントを設定してください

🔍 エージェントのアクションを確認する — エージェントのアクションログを定期的にチェックし、予期しない動作がないか確認してください

避けて通れない400,000行の問題

Karpathyの指摘はもっともです。OpenClawのコードベースは膨大で、大部分がバイブコーディングされたものです。エンタープライズソフトウェアに通常求められるようなセキュリティ監査は行われていません。

これはOpenClawが設計上安全でないという意味ではありません。意味するのは：

セットアップのセキュリティは、コードベース自体ではなく、あなたがどのように設定するかに主に依存しているということです。

適切にサンドボックス化され、権限が制限され、監査済みのスキルを使用するOpenClawインスタンスは、合理的に安全です。インターネットからランダムなスキルをインストールし、rootとして実行するデフォルトのままのインストールは、時限爆弾です。

マネージドホスティングが役立つ場面

セルフホスティングについて、耳の痛い事実があります。ほとんどの人は、OpenClawのようなシステムを適切に保護する専門知識を持っていません。

適切なサンドボックス化、ファイアウォールルール、権限の境界設定、監視、そして定期的なセキュリティアップデートの設定は、フルタイムの仕事です。セキュリティエンジニアが年間$200K以上の報酬を得て行う類の仕事です。

MyClaw.aiは、このセキュリティレイヤーを代わりに処理します。適切な分離、自動アップデート、異常な動作の監視、ダウンタイムなしで適用されるセキュリティパッチを備えたマネージドインフラストラクチャです。あなたのエージェントは同じパワーを維持しながら、攻撃対象面を大幅に削減できます。

能力とセキュリティのどちらかを選ぶ必要はありません。適切なセットアップ — セルフマネージドでもホスティングでも — があれば、両方を手に入れることができます。

まとめ

OpenClawのセキュリティリスクは現実のものですが、管理可能です。被害に遭っている人の大半は、以下に該当するケースです：

1. サンドボックス化なしでrootとして実行している
2. コードを読まずに未監査のスキルをインストールしている
3. インスタンスを公開インターネットに露出させている
4. エージェントに無制限の金融アクセスを与えている

上記のチェックリストに従えば、恐怖の体験談の95%を回避できます。OpenClawはパワーツールです — そしてあらゆるパワーツールと同様に、危険はツール自体にあるのではなく、使い方にあるのです。