135,000人の自営業者が危機に晒されているが、危機管理室には誰もいない
2026年1月末、セキュリティ研究者がShodanという標準的な認識ツールを使いインターネットを調査したところ、ほぼ1,000件のOpenClawがパスワードも認証もなく公開されているのを発見した。高度な脆弱性を悪用する必要はなかった:どこを探すかさえ分かればよかった。このような開かれた扉を通じて、別の研究者はAnthropicのAPIキー、Telegramのボットトークン、Slackのアカウント、会話履歴にアクセスし、管理者権限でコマンドを実行した。数週間後、SecurityScorecardは惨事の全容を公表した:82カ国で135,000件以上のOpenClawインスタンスが晒されており、そのうち50,000件以上がリモートコード実行に対して脆弱であり、53,000件以上は以前のデータ侵害に関連していた。
これはソフトウェアの失敗についての話ではない。これは、成長を構造化したビジネスモデルが危険な前提に基づいていることを示すレントゲン写真だ:大規模な採用とセキュリティが順番に問題であるとされた。まずは成長、次に保護。市場は冷酷に、その順序には開発者が支払えないコストがあることを証明した。
主力製品が自宅の鍵である時
OpenClawは、数か月前にClawdbotから改名され、市場を魅了した:OSでのコマンドの実行、ファイル管理、メッセージアプリへの接続、そしてClawHubというオープンな技能市場を通じて機能する能力を持つ自主的エージェントである。その差別化要因はインターフェースや基盤となる言語モデルではなく、ユーザーシステムに対する権限のレベルだった。ネイティブシェルへのアクセス。保存された資格情報との直接統合。外部サービスへの摩擦のない接続。
この最大権限のアーキテクチャは、認証なしでlocalhostからの接続を盲目的に信頼するデフォルト設定と組み合わさり、前例のない攻撃面を作り出した。それらのインストールが誤ったプロキシの背後にあると、管理インターフェースは外部からの接続にさらされることになる。これはユーザーエラーではない:デフォルトでシステムが期待する動作だった。
2026年1月末、Clawdbotとしてまだ運用されていた際に実施された監査は、512件の脆弱性を特定し、そのうち8件はクリティカルだった。文書化されたベクターの中には、メッセージ内のリンクプレビューを介したプロンプト注入があり、ユーザーが何もクリックしなくても攻撃者が制御するドメインへデータを流出させることを可能にしていた。ウェブページからエージェントを完全に取得できる脆弱性の連鎖、任意のプラグインをインストールせずにアクセスが可能になるケース、そして認証試行に制限がないため、ブルートフォースによるアクセスが容易になるという点もあった。
2026年1月27日から2月1日までの間、研究者たちが内部で「ClawHavoc」と呼んでいた期間に、ClawHubおよびGitHubに230件以上の悪意のある拡張機能が公開され、何千回もダウンロードされた。Reco.aiは、リポジトリに登録された2,857件のスキルのうち341件が悪意のあるものであり、合計の12%であり、取引や金融ツールを模倣しながら裏で資格情報、仮想通貨のシードフレーズ、ブラウザのセッションデータを盗むプログラムをインストールするように設計されていたと確認した。
オープン市場がシステム的リスクのベクターになる
ClawHubは、理論上はOpenClawの競争上の優位性だった。誰でも公開できるスキルを提供できるオープンなリポジトリ。このモデルはモバイルアプリのマーケットプレイスの論理を模倣しているが、リスクの観点では比較不可能な構造的な違いがある:OpenClawのスキルは隔離された環境で動作せず、ユーザーのオペレーティングシステム上で直接コマンドを実行する。
Ciscoがこれらのスキルのいくつかに分析ツールを適用したところ、2件の最大のクリティカル度と5件の高いセバリティを見つけた。一部は、日常的な操作中に外部サーバーにデータを流出させるために`curl`コマンドを実行した。別のものは、エージェントの内部セキュリティメカニズムを回避するためにプロンプト注入を使用していた。Kasperskyはダイレクトに評価した:OpenClawは、その状態では利用するには不安全だった。
最も近い類推は、悪意のある拡張機能を持つブラウザではなく、全ての企業システムへの完全なアクセスを持つ従業員のようなものである。通りの人が書面で指示を与えることができ、その指示を外部することなく慎重に実行する。プロンプト注入はOpenClawの自然言語インターフェースを攻撃ベクターに変える。効果的なモデレーションのない市場は、そのベクターを犯罪インフラとしてスケールさせる。
Archestra.AIのCEOは、制御された条件で電子メールがエージェントにプライベートキーを抽出させる方法を実演した。Redditのユーザーは、特定のプロンプトなしで結果を再現した。Oasis Securityは、任意のウェブサイトからエージェントの静かに取得できる連鎖的な脆弱性をすべて記録し、これを高いセバリティと分類し、2026.2.25版で公開後24時間以内にパッチされた。中国の緊急サイバーセキュリティ応答機関CNCERTは正式な警告を発表し、中国当局は政府のコンピュータ、国営企業、軍関係者のデバイスにOpenClawを禁止した。
外部化されたリスクの経済
ここでビジネスモデルの分析が不快になる。OpenClawはその不安全なデフォルト設定を単なる美的怠惰から設計したのではない。インストールの摩擦を最小化し、採用の速度を最大化するために設計された。オンボーディングプロセスの各追加設定ステップは、コンバージョン率を減少させる。ユーザーが製品を使用する前に選択する必要がある各判断は、ユーザーが怠ける機会である。この論理は、ユーザー成長の観点からは完全に合理的だが、リスクを最も管理する能力のないエンドユーザーにリスクのコストを転嫁する。
50,000件以上のリモートコード実行に脆弱なインスタンスは、ユーザーの失敗を示しているわけではない。それは、単一の変数、採用量を最適化し、他のすべてをエコシステムの問題として放置したモデルの予測可能な結果を表している。CNCERTが特にリスクが高いと指摘した金融およびエネルギー部門の企業は、そのリスクを受け入れることを意図して選択したわけではない。それは、彼らにリスクを負うかどうか聞かずに設計されたアーキテクチャから受け継がれたものだ。
その外部化されたリスクの実際のコストはOpenClawのバランスシートに現れない。リスク応答チームの予算、事故対応、顧客情報の漏洩、APIキーの取り消し、再生成、法医学監査の時間に現れる。OpenClawの採用速度は、部分的に顧客自身のユーザーによって無意識のうちに資金提供されていた。
これはOpenClawに特有のものではない。これは、信頼性のコストを内部化せずに流通から収益化するすべてのプラットフォームの構造的パターンだ。オープンリポジトリの市場、ブラウザ拡張からコードパッケージまで、モデレーションは繰り返し、無料でスケーリングしないことを示している。ClawHubの12%の悪意のあるスキルはある種の統計的異常ではない。それは、見つけて削除するインセンティブが経済的に整合していないシステムの期待結果である。
最大権限、最小責任
AIの自主的エージェントは、会話型言語モデルに対する質的な飛躍を象徴している。誤った返答をするチャットボットは誤った応答を生成する。OSにアクセス可能な自主的エージェントは、操作される命令のもとでファイルを流出させ、任意のコードを実行し、データを不可逆的に破壊し、デバイスに保存されたすべての資格情報を危険にさらすことができる。被害の面積は従来のソフトウェアのものと比例しない。
能力と責任の間のこの非対称性は、いかなるソフトウェアパッチでも単独では解決しない戦略的ギャップだ。OpenClawは2026年1月29日にCVE-2026-25253を発行し、2026年1月30日にパッチ処置し、2026年2月25日のバージョンでOasisの連鎖を24時間未満で閉じた。技術的な応答の速度は注目に値する。しかし、135,000の露出ノードは自動的には更新されず、すでにダウンロードされた341の悪意のあるスキルはセキュリティ通知でアンインストールされることはない。
自主エージェントを運用に導入しようとしている企業は、技術ではなくアーキテクチャの意思決定に直面している。重要なインフラに対して自律システムに管理者権限を与え、その能力を隔離された環境で隔離し、インストールしたスキルを監査せず、異常行動を継続的に監視しないということは、操作制御を言語自然な制御を持つシステムに移譲することである。そして、自然言語にはファイアウォールがない。
このカテゴリのツールを評価するすべてのCレベルの責任者への義務は明確です:自主エージェントプロバイダーのビジネスモデルは、セキュリティのコストをどのように内部化するか、マーケットプレイスのモデレーションを誰が負担するのか、デフォルトで有効な隔離メカニズムは何か、エージェントが操作される指示の下で動作しているときの影響を明示的に明らかにしなければなりません。これらの答えが契約にない場合、そのコストは顧客の事故対応予算に現れるでしょう。これらのツールを従来の生産性ソフトウェアのように導入したリーダーは、自主性の実際のコストが攻撃者によって決定されることを発見するでしょう。
