OpenClawは安全に使える?セキュリティリスクと対策まとめ
OpenClawをインストールしてみたものの、技術系メディアで「ワンクリックで乗っ取り可能」「数十万台が無防備に露出」といった見出しを目にして、手が止まっていませんか。便利だからこそ、何を許してしまっているのか不安になる気持ちはよくわかります。
この記事では、OpenClawで実際に起きたセキュリティインシデントを整理しながら、原因と運用の安全策、そして安心して使い続けるための環境選びを順番に解説します。最後まで読めば、自分が「自前運用で問題ない人」なのか「マネージド環境が向いている人」なのか、判断のものさしが手に入るはずです。
目次
- OpenClawとは?まずは仕組みをざっくり整理
- OpenClawで報告されている主なセキュリティリスク3つ
- なぜOpenClawでセキュリティ事故が起きるのか
- OpenClawを安全に使うための運用ポイント
- ロリポップAIエージェントクラウドで安全に使い始める
- まとめ
OpenClawとは?まずは仕組みをざっくり整理
OpenClaw(オープンクロー)は、開発者のPeter Steinberger氏が公開しているオープンソースのAIエージェントです。GitHubでは37万を超えるスター(2026年6月時点)を集め、Claude CodeやChatGPTのような対話型AIとは違い、シェルコマンドの実行・ファイル操作・ブラウザ操作・メール送信といった「日常タスクを自律的に代行する」点が大きな特徴です。
SlackやTelegram、Discordと連携でき、ClawHubと呼ばれるスキルマーケットから拡張機能を追加できるため、エンジニアを中心に一気に普及しました。一方で、できることが広い分、誤った設定や悪意あるスキルの混入が大きなリスクにつながる側面もあります。
OpenClawで報告されている主なセキュリティリスク3つ
2026年に入ってから、OpenClawをめぐってはセキュリティインシデントの報告が相次いでいます。ここでは特に押さえておきたいリスクを3つに整理します。
① ClawJacked:悪意あるWebサイト経由でエージェントを乗っ取られる
2026年1月に公開された脆弱性CVE-2026-25253(CVSSスコア8.8)は、ブラウザでWebサイトを開いただけでOpenClawが乗っ取られてしまう、いわゆる「クロスサイトWebSocketハイジャック」と呼ばれる攻撃手法です。
ローカル(localhost)のゲートウェイに対する接続は信頼される設計だったため、悪意あるサイトのJavaScriptから秒間数百回のパスワード推測が可能で、突破後はSlack履歴のAPIキー抽出や任意コマンドの実行まで許してしまう内容でした。修正は2026.2.25以降のバージョンで提供されています。(出典:脆弱性を開示したOasis Security、およびBleepingComputerの報道。修正版で対策済み)
② ClawHub経由の悪意あるスキル配布
スキルマーケット「ClawHub」では、2026年1月下旬から2月初頭にかけて335個以上の悪意あるスキルが流通しました。「solana-wallet-tracker」のような違和感のない名前で配布され、インストール手順に沿って手動でスクリプトを実行させる「ClickFix」と呼ばれる社会工学的な手口が使われています。
実行されると、Windowsではキーロガー、macOSではAtomic Stealerと呼ばれる情報窃取マルウェアがダウンロードされ、ブラウザ保存パスワードや暗号資産ウォレットの情報が盗まれます。
③ 公開インスタンスの大規模露出
ShodanやCensysのスキャンでは、認証なしのまま外部公開されているOpenClawのインスタンスが多数発見されました。2026年5月時点で、複数のCVE(CVE-2026-44112ほか)を含む「OpenClaw Chain Vulnerabilities」によって、約245,000台のサーバーがリモートからの侵入リスクにさらされていたという報告もあります。
APIキー・OAuthトークン・平文パスワードがそのまま漏出するケースもあり、影響範囲は個人だけでなく、その人がアクセスできるSaaS全体に及ぶことが特徴です。
なぜOpenClawでセキュリティ事故が起きるのか
OpenClawの脆弱性は「実装ミス」というより、構造的に起きやすい3つの前提が重なっている点に原因があります。
1つ目は、localhost信頼モデルです。同じパソコンの中からのアクセスは安全とみなす慣習が長くあり、ブラウザ経由のWebSocket接続もそのまま許可する設計になっていました。リバースプロキシをかませると、外部からのリクエストが「localhost」として誤って通ってしまう構成事故も起きやすいポイントです。
2つ目は、スキルマーケットの審査がゆるいことです。ClawHubは誰でも公開でき、初期段階ではコード署名やレビューの仕組みが整っていませんでした。便利な仕組みであるほど、悪意ある第三者も同じ導線を使って入ってきます。
3つ目は、デフォルト権限の広さです。OpenClawはシェル実行の権限が初期状態(security=“full”)で開放されており、エージェントが任意のコマンドを許可リストや実行前の承認なしで実行できます。ファイル操作・ブラウザ操作(ログイン中のアカウントでの操作を含む)・メッセージ送受信はそれぞれ別の設定で制御しますが、単一利用者向けの初期状態のままでは、これらを含めて操作範囲が広く開いたままになりやすい構成です。
プロンプトインジェクション(メールやWebに仕込まれた悪意ある指示でAIの挙動を奪う手法)が成立した瞬間に、攻撃者は人間と同じ操作範囲を手にすることになります。
OpenClawを安全に使うための運用ポイント
セキュリティリスクを完全にゼロにすることはできませんが、次の3つを徹底するだけでも事故の確率は大きく下がります。
① パッチを溜めずに最新バージョンを保つ
OpenClawの開発チームは、ClawJacked公開時に24時間以内に修正版(2026.2.25)をリリースしています。月1回はバージョン確認を行い、自動更新が使える環境ではオンにしておくのが基本です。
② スキルは公式署名済みのみ・実行内容に目を通す
ClawHubで配布されるスキルは便利ですが、インストール前にスクリプト内容と外部接続先を確認する習慣を持つことが安全策の柱になります。「インストール手順で別サイトのスクリプトを実行させる」「不審なドメインに接続する」スキルは避けるのが鉄則と覚えておくとスムーズです。
③ 隔離環境・マネージド環境で動かす
本体は管理者権限ではなく、専用のOSユーザーで実行するのが安心です。さらにDockerコンテナや仮想マシン、AIエージェント専用のクラウド環境で隔離すれば、万が一侵入されても被害を最小限に抑えられます。
ロリポップAIエージェントクラウドで安全に使い始める
ロリポップAIエージェントクラウドは、OpenClawをブラウザ操作だけで使えるマネージド環境です。自前でサーバーを構築する必要がなく、ユーザーごとに独立した環境が割り当てられるため、自前運用で気をつけるべきポイントをサービス側でまとめてカバーします。
- 隔離されたサンドボックス環境:ユーザーごとに区切られた専用環境で動作するため、ClawJackedのようなlocalhost乗っ取り型の攻撃が外部に波及するリスクを最小化
- アップデートの自動適用:脆弱性対応を含むアップデートをプラットフォーム側で一括管理するため、最新版を追いかけ続ける手間が不要
- ユーザーごとに独立したサーバー:利用者ごとにサーバーを分離しているため、ほかの利用者の影響を受けにくく、脆弱性対策とソフトウェアの自動更新もまとめて実施されます
「セキュリティを真面目に考えると面倒くさい」を、サービス側で吸収する設計です。
まとめ
OpenClawのセキュリティについて、ここまでの内容を振り返ります。
- 報告されているリスクは大きく3つ:ClawJacked・悪意あるスキル・公開インスタンス露出
- 構造的な原因は「広い権限×ゆるい審査×localhost信頼」の重なりで、仕組みを理解すれば対策しやすい
- 運用のコツはパッチ・スキル選定・隔離の3点で、マネージド環境ならよりラクに回せる
セキュリティ対策と聞くと身構えてしまいがちですが、要点さえ押さえれば、リスクと付き合いながら安心して使い続けられます。
ロリポップAIエージェントクラウドは月額1,200円(税込・サーバー利用料込み)から始められ、初期はお試し用のLLM無料枠で動作確認できます。まずは1ヶ月、自分の使い方に合うか試してみるのがおすすめです。
この記事をシェア
