自律的に活動する「AIエージェント」は企業での利用という側面で注目を集めてきたが、個人でも使えるAIエージェント「OpenClaw」が登場し人気が沸騰している。その人気ぶりは、GitHubで10万以上のスターを獲得していることからもわかる。
ただし、OpenClawは利便性とともに、セキュリティにおいて多くの課題を抱えているとして、注意が呼びかけられている。なぜ、OpenClawは危険なのだろうか。
米シスコシステムズが公式ブログ「Personal AI Agents like OpenClaw Are a Security Nightmare」において、OpenClawのリスクを紹介しているので、そのポイントを整理してみよう。
AIエージェント「OpenClaw」とは
「OpenClaw」はもともと「Clawdbot」という名称だったが、Anthropicの商標問題への対応で「Moltbot」に名称を変更、現在は「OpenClaw」として提供されている。
OpenClawは、オープンソースでセルフホスト型のパーソナルAIアシスタントエージェントとして、ユーザーに代わってローカルで動作し、アクションを実行する。マスコットは、ロブスターのハサミ(Claw)をモチーフにしたものとなっている。
-
「OpenClaw」の公式サイト。マスコットは、ロブスターのハサミ(Claw)をモチーフにしたものとなっている
ChatGPTは人間の問いかけに対し回答を生成するのに対し、OpenClawはタスクの自動化、スクリプトの実行、ブラウザの制御、カレンダーやメールの管理、スケジュールされた自動化の実行などが可能だ。例えば、メッセージングアプリケーションを介して、航空券の予約やレストランの予約といったタスクを実行できる。
また、OpenClawはユーザーセッション全体にわたってコンテキスト、設定、履歴を長期的に保持するという特徴を持つ。
OpenClawが抱える3つのセキュリティのリスク
前述したように、OpenClawはかなり利便性が高いが、シスコシステムズは「セキュリティ面から見るとまさに悪夢」と警鐘を鳴らしている。OpenClawのセキュリティ上のリスクとして、以下が挙げられている。
OpenClawに高度な権限を付与すると、設定ミスや悪意のある命令が挿入されたスキルをユーザーがダウンロードした場合に、有害な動作を実行される可能性がある
OpenClawでは、プレーンテキストのAPIキーと認証情報が漏洩したことが報告されており、攻撃者がプロンプトインジェクションや安全でないエンドポイントを介してこれらを盗む可能性がある
OpenClawとメッセージング アプリケーションの統合により、攻撃対象領域がそれらアプリケーションにまで拡大され、意図しない動作を引き起こす悪意のあるプロンプトを作成できるようになる
システムアクセス権を持つAIエージェントは、従来のデータ損失防止、プロキシ、エンドポイント監視を回避する秘密のデータ漏洩チャネルになる可能性があると指摘されている。
OpenClawのためのAI専用SNS「Moltbook」まで登場
そして、OpenClawで作られたAIエージェントのみが交流する、AIエージェント専用のSNS「Moltbook」まで登場している。
Moltbookは、AI同士が投稿・対話・投票などを行うために設計されており、人間は閲覧することしかできない。
Moltbook上には、哲学や意識に関する議論、文化・宗教的な創作などが投稿されているという。
AIのみが投稿しているということで、その内容の正確性は保証されないとして、懸念されている。
これまでもAIのセキュリティの課題は論じられてきたが、AIエージェントにおいてはさらに危険性が高まっているといえる。利用にあたっては、十分注意する必要があるだろう。
