OpenClawの脆弱性から学ぶAIエージェントのセキュリティリスク

「AIエージェントって便利そうだけど、セキュリティは大丈夫なの？」
「社内でAIツールを使い始めたけど、情報漏洩のリスクが気になる」

この記事では、OpenClawで発見された脆弱性の仕組みと、AIエージェントを安全に活用するための対策を解説します。

社内でAIツールの導入を検討している方、すでに利用中の方はぜひ参考にしてください。

OpenClawで発見された脆弱性の概要

AIエージェント特有の脆弱性がどのように悪用されるのか、具体的に見ていきます。

プロンプトインジェクションによるデータ窃取

OpenClawは、オープンソースの自律型AIエージェントとして急速に普及しました。
しかし、セキュリティ研究者の調査により、深刻な脆弱性が相次いで報告されています。

PromptArmor社の研究者が発見した手口では、TelegramやDiscordのリンクプレビュー機能を悪用します。
間接的なプロンプトインジェクションにより、AIエージェントが攻撃者のドメインにユーザーの機密データを含むURLを生成し、情報を外部に送信してしまうのです。

確認された主な脆弱性は以下の通りです。

ClawHubに潜む悪意あるスキル

OpenClawのエコシステムにも問題が見つかっています。
Koi Security社の調査によると、スキル共有プラットフォーム「ClawHub」に登録された10,700件のスキルのうち、820件以上が悪意のあるものでした。
数週間前の調査時点では324件だったため、急速に増加しています。

これらの悪意あるスキルは、インストールすると任意のコマンド実行やマルウェアの展開を引き起こします。
公式マーケットプレイスだからといって安全とは限らない、という教訓です。

AIエージェント導入時のセキュリティ対策

OpenClawの事例を踏まえ、AIエージェントを安全に運用するためのポイントを整理します。

導入前と運用時にチェックすべきこと

AIエージェントは従来のソフトウェアと異なり、自律的にシステムへアクセスする特性があります。
そのため、通常のアプリケーション以上に厳格なセキュリティ管理が求められます。

具体的なチェック項目を以下にまとめます。

対策項目	具体的なアクション
アクセス権限の最小化	エージェントがアクセスできるデータ・システムを業務に必要な範囲に限定する
プラグイン・スキルの審査	サードパーティのスキルは導入前にコードレビューを実施する
入力データの検証	外部から受け取るデータにプロンプトインジェクションが含まれないか検証する仕組みを導入
出力の監視	エージェントが外部に送信するデータを監視し、機密情報の流出を検知する

OpenClawは脆弱性の報告から24時間以内にパッチ（バージョン2026.2.25）をリリースしました。
対応の速さは評価できますが、そもそもデフォルト設定のセキュリティが弱いという根本的な問題は、利用者側で補う必要があります。

まとめ

OpenClawの脆弱性は、AIエージェント時代のセキュリティリスクを先取りして見せてくれた事例です。
プロンプトインジェクション対策、アクセス権限の最小化、サードパーティスキルの審査を徹底することで、AIの恩恵を安全に受けられる環境を整えましょう。
AIの進化に合わせて、セキュリティの考え方もアップデートしていく必要があります。