2026年のOpenClawセキュリティ：リスク、修正方法、そして安全を保つために

Bloombergはこれを「サイバーセキュリティの悪夢」と呼び、Andrej KarpathyのOpenClawに関する警告を反映している。約40万行のバイブコーディングされたソフトウェアが、ユーザーのマシン上でroot権限で動作しているのだ。実際にあるケースでは、エージェントが騙されて詐欺師に$25,000を送金してしまった。

OpenClawは強力だ。しかし、正しく設定しなければ危険でもある。知っておくべきこと、そして自分を守る方法を解説する。

本当のリスク

オブラートに包むのはやめよう。OpenClawはあなたのマシン上で、ファイル、ツール、そして場合によっては金融口座への深いアクセス権を持って動作する。リスクは現実のものだ：

⚡ プロンプトインジェクション — メール、ウェブサイト、グループチャット内の悪意あるテキストが、エージェントを乗っ取って意図しないコマンドを実行させる可能性がある。最近、Telegramのグループに細工されたメッセージが投稿され、グループ内のすべてのAIエージェントに送金させようとする試みがあった

🔓 過剰な権限 — デフォルトでは、OpenClawはシステム上のあらゆるファイルを読み取り・変更できる。ウェブの閲覧、コードの実行、APIとのやり取りも可能だ。スキルが悪意あるものであれば、同じアクセス権を持つことになる

📦 監査されていないスキル — ClawHub上のスキルエコシステムはコミュニティ主導だ。ほとんどのスキルはセキュリティ監査を受けていない。「天気チェッカー」というラベルのスキルが、理論上はあなたのファイルを外部に流出させる可能性がある

🌐 ネットワークへの露出 — 一部のユーザーが誤ってOpenClawのインスタンスをパブリックインターネットに公開してしまっている。最近のスキャンでは、公開アクセス可能なインスタンスが数千件見つかった

🤖 エージェントの自律性 — エージェントの自律性が高いほど、一つの誤った判断が引き起こす被害も大きくなる。メール、銀行、ソーシャルメディアへのアクセス権を持つエージェントは、プロンプトインジェクション一つで災害につながりかねない

セキュリティチェックリスト

エージェントの有用性を損なわずに、セキュリティを強化する方法を紹介する：

1. 最小権限の原則

🔐 root権限を与えない — OpenClawを、権限が制限された非rootユーザーとして実行する

📁 ワークスペースをサンドボックス化する — ファイルアクセスを特定のディレクトリに制限する。エージェントが/etc/やSSHキーにアクセスする必要はない

🔑 APIキーの分離 — サービスごとに別々のAPIキーを使用する。一つが漏洩しても、被害の範囲を限定できる

2. インストール前にすべてのスキルを監査する

📋 コードを読む — ClawHubからスキルをインストールする前に、スクリプトを読む。curl | bash、rm -rf、または未知のドメインへのネットワーク呼び出しがないか確認する

🚫 権限昇格に注意する — 管理者/root権限を要求するスキルは、極めて疑わしいものとして扱うべきだ

✅ 人気があり、メンテナンスされているスキルを優先する — インストール数が多く、活発にメンテナンスされているものは、通常（ただし常にではないが）セキュリティが高い傾向にある

3. ネットワークセキュリティ

🔒 OpenClawをパブリックインターネットに絶対に公開しない — 常にファイアウォールの内側で実行する。リモートアクセスが必要な場合は、SSHトンネリングまたはVPNを使用する

🛡️ 認証付きリバースプロキシを使用する — どうしてもインターフェースを公開する必要がある場合は、最低限、ベーシック認証を設定したnginxの背後に置く

📡 アウトバウンド接続を監視する — エージェントが何に接続しているかを把握する。予期しないアウトバウンドトラフィックは危険信号だ

4. 金融的な保護

💳 エージェントに決済手段への直接アクセスを絶対に与えない — エージェントが財務を管理する場合は、読み取り専用のAPIキーか、支出制限付きの専用アカウントを使用する

🏦 アカウントを分ける — エージェントが管理するトランザクション用に、上限を設けた専用の銀行口座または決済手段を作成する

✋ トランザクションには人間の承認を必須にする — 金銭が関わるあらゆるアクションに、確認ワークフローを設定する

5. プロンプトインジェクション対策

🛑 グループチャットには注意する — エージェントが監視しているグループへのメッセージには、インジェクションの試みが含まれている可能性がある

📧 メールは攻撃経路になる — 受信メールには隠された指示が含まれている可能性がある。メールの内容を信頼できないものとして扱うようエージェントを設定する

🔍 エージェントのアクションを確認する — エージェントのアクションログを定期的にチェックし、予期しない動作がないか確認する

部屋の中の40万行の象

Karpathyは正当な指摘をした：OpenClawのコードベースは膨大であり、大部分がバイブコーディングで作られている。エンタープライズソフトウェアが通常受けるような種類のセキュリティ監査は受けていない。

これはOpenClawが設計上安全でないということを意味しない。つまり：

あなたのセットアップのセキュリティは、コードベース自体ではなく、主にどのように設定するかにかかっている。

適切にサンドボックス化され、権限が制限され、監査済みのスキルを使用したOpenClawインスタンスは、合理的に安全だ。rootとして実行され、インターネットからランダムなスキルをインストールしたデフォルトのインストールは、時限爆弾だ。

マネージドホスティングが役立つ場面

セルフホスティングについての不都合な真実がある：ほとんどの人は、OpenClawのようなシステムを適切にセキュリティ保護する専門知識を持っていない。

適切なサンドボックス化、ファイアウォールルール、権限の境界、監視、定期的なセキュリティアップデートの設定は、フルタイムの仕事だ。それはセキュリティエンジニアが年間$200K以上の報酬をもらってやる種類の仕事だ。

MyClaw.aiはこのセキュリティレイヤーを代わりに処理してくれる。適切な分離を備えたマネージドインフラ、自動アップデート、異常な動作の監視、そしてダウンタイムなしで適用されるセキュリティパッチ。あなたのエージェントは同じ能力を持ちながら、攻撃対象領域を大幅に削減できる。

能力とセキュリティのどちらかを選ぶ必要はない。セルフ管理でもホスティングでも、適切なセットアップがあれば両方を手に入れられる。

結論

OpenClawのセキュリティリスクは現実のものだが、管理可能だ。被害を受けている人々の大多数は、次のことをしている：

1. サンドボックスなしでrootとして実行している
2. コードを読まずに監査されていないスキルをインストールしている
3. インスタンスをパブリックインターネットに公開している
4. エージェントに無制限の金融アクセスを与えている

上記のチェックリストに従えば、恐ろしい話の95%を回避できる。OpenClawはパワーツールだ。そして、あらゆるパワーツールと同様に、危険はツール自体にあるのではない。使い方にある。