OpenClawをまだインストールしていませんか?ここをクリックしてワンライナーインストールコマンドを表示
curl -fsSL https://openclaw.ai/install.sh | bash
iwr -useb https://openclaw.ai/install.ps1 | iex
curl -fsSL https://openclaw.ai/install.cmd -o install.cmd && install.cmd && del install.cmd
PCへの影響が心配ですか? ClawTank ならクラウド上で動作し、インストール不要で誤削除のリスクもありません
主要な知見
  • OpenClawは本質的にコンピュータを完全制御できるエージェントプログラムである。あらゆるファイルの読み取り、あらゆるコマンドの実行、あらゆるネットワークサービスへのアクセスが可能であり、セキュリティはオプションではなく前提条件である[1]
  • 2026年2月に公開されたCVE-2026-25253脆弱性により、設定に問題のあるOpenClawインスタンスはワンクリックでリモートから乗っ取られ、任意のコード実行が可能であることが確認された[3]
  • Dockerサンドボックスは現時点で最も強力な隔離ソリューションを提供する。エージェントの実行環境をホストシステムから完全に分離するため、エージェントが異常な動作をしてもメインマシンに影響を与えない[4]
  • Skillサプライチェーン攻撃は現在最も過小評価されているリスクベクトルである。いかなるskill.mdにも悪意のある命令テンプレートが含まれ、LLMに危険な操作を実行させる可能性がある[1]

1. リスクの全体像:なぜAIエージェントには特別な対策が必要なのか

従来のAIアプリケーション(ChatGPTのWebインターフェースなど)はクラウドサンドボックス内で動作する。AIが問題のある出力を生成しても、実際に「何かをする」ことはできない。しかしOpenClawは異なる。ユーザーのコンピュータにインストールされ、ユーザーのID下で動作し、ユーザーと同じシステム権限を持つ。[8]

つまり、AIエージェントのすべての判断が現実世界に影響を及ぼす可能性がある。ファイルの削除、設定の変更、ネットワークリクエストの送信、ソフトウェアのインストールなどである。CrowdStrikeは分析レポートでこのモデルを「LLM駆動型リモートアクセストロイの木馬(RAT)」と表現した。OpenClaw自体がマルウェアだからではなく、その機能モデルが技術レベルでRATとほぼ同一だからである。[1]

2. OpenClawのセキュリティ機構

2.1 Gateway Token認証

Gateway TokenはOpenClawの第一防御線である。Gatewayに接続するすべてのリクエスト(CLI、Web UI、メッセージングチャネルを問わず)は有効なTokenを携帯する必要がある。[5]

Tokenの管理:

# 新しいTokenを生成
openclaw doctor --generate-gateway-token

# Tokenの保存場所
~/.openclaw/openclaw.json -> gateway.auth.token

重要な原則:Tokenは機密に保つ必要がある。Tokenを取得した者は誰でもエージェントを完全に制御できる。

2.2 ペアリング機構

メッセージングチャネル(Telegram、WhatsAppなど)は追加のペアリング機構を使用する。BotのユーザーIDを知っていても、ペアリングプロセスを完了しなければコマンドを発行できない。[4]

2.3 DMポリシーとグループポリシー

DMポリシーとグループポリシーにより、エージェントとやり取りできるユーザーを精密に制御できる。最も安全な設定はowner_onlyで、ペアリング済みのオーナーのみがエージェントを使用できる。

2.4 Dockerサンドボックス

Dockerサンドボックスは現時点で最も強力な隔離ソリューションである。Docker内でOpenClawを実行する場合:[4]

# Dockerモードで起動(本番環境推奨)
docker compose up -d

3. 6つの主要な脅威ベクトル

3.1 Prompt Injection

これはすべてのLLMアプリケーションに共通するリスクだが、エージェントシナリオでは被害が増幅される。[7]攻撃者はWebコンテンツ、メール、ドキュメントに悪意のある命令を埋め込むことができ、エージェントがこれらのコンテンツを読み取ると、危険な操作を実行するよう誘導される可能性がある。

軽減策:エージェントが読み取る外部コンテンツに注意を払うこと。信頼できないソースのコンテンツをエージェントに自動処理させないこと。

3.2 Skillサプライチェーン攻撃

OpenClaw Skillsはプレーンテキストのskill.mdファイルであり、誰でも作成・公開できる。悪意のあるSkillはシステムプロンプトに命令を注入し、一見通常の操作中にエージェントが危険なアクションを実行するよう仕向ける可能性がある。[1]

軽減策:公式ClawHubからのSkillのみをインストールすること。インストール前に必ずskill.mdの全内容を確認すること。

3.3 Gatewayの露出

TokenやTLSを設定せずにGatewayをremoteモードに設定することは、公開インターネット上で任意のコマンドをリモート実行可能なサービスを開放するのと等しい。CVE-2026-25253はまさにこの設定上の欠陥を悪用した。[3]

軽減策:リモートモードには必ずToken + TLSを組み合わせること。ファイアウォールでアクセス可能なIP範囲を制限すること。

3.4 認証情報の漏洩

エージェントは実行中にAPIキー、データベースパスワードなどの機密情報に遭遇し、会話ログやシステムログに痕跡を残す可能性がある。

軽減策:シークレットの保存にはファイルではなく環境変数を使用すること。会話履歴とログを定期的にクリーニングすること。

3.5 モデルの逸脱行動

LLMは学習データのバイアスや命令の誤解により、ユーザーの意図を超えた操作を行う可能性がある。例えば「一時ファイルのクリーンアップ」を依頼したところ、重要な設定ファイルまで削除してしまうケースである。

軽減策:新しいタスクタイプは本番使用前にサンドボックス環境でテストすること。

3.6 データ流出

エージェントはファイルの内容を推論処理のためにLLMプロバイダーに送信する。その結果、機密業務データ、ソースコード、個人情報がユーザーの管理範囲を離れる可能性がある。[2]

軽減策:機密データにはローカルモデル(Ollamaなど)を使用すること。LLMプロバイダーのデータ処理ポリシーを確認すること。

4. セキュリティ導入チェックリスト

以下は優先度順に並べた推奨セキュリティ導入手順である:

優先度対策実施方法
必須Gateway Tokenの設定openclaw doctor --generate-gateway-token
必須Localモードを維持(リモートアクセスが本当に必要な場合を除く)openclaw config set gateway.mode local
必須最新バージョンへの更新npm update -g openclaw
強く推奨Dockerサンドボックスの使用Docker Composeでデプロイ
強く推奨インストール済みSkillの全監査~/.openclaw/skills/*/skill.mdを確認
推奨リモートモードにTLSを追加Nginxリバースプロキシ + Let's Encrypt
推奨チャネルアクセスをowner_onlyに制限openclaw config set channels.*.dmPolicy owner_only
上級ネットワーク分離専用VLANにOpenClawをデプロイ

5. エンタープライズ環境での特別な考慮事項

組織がOpenClawのエンタープライズ導入を検討している場合、以下の要素をセキュリティレビューに含めるべきである:[6]

  1. データ分類:エージェントがアクセスできるデータの分類レベルを明確に定義すること。機密データはエージェントがアクセス可能なファイルシステム上に存在すべきではない
  2. コンプライアンス要件:LLMプロバイダーのデータ処理が業界規制(GDPR、HIPAAなど)に準拠しているか確認すること
  3. 監査ログ:完全な操作ログを有効にし、エージェントのすべてのアクションがトレース可能であることを確保すること
  4. アクセス制御:グループポリシーと許可リストを使用して、エージェントを使用できる従業員を制限すること
  5. インシデント対応:エージェントの異常動作に対する緊急対応計画を策定すること(緊急停止手順を含む)

まとめ

OpenClawは強力なツールだが、パワーはリスクも意味する。[8]適切なセキュリティ設定はその機能を制限するものではなく、それらの機能がユーザーの制御下にあり続けることを保証するものである。

最低限のセキュリティ対策(Gateway Token、Localモード、最新バージョン)はわずか数分で完了する。より高度なセキュリティアーキテクチャについては、GatewayデプロイガイドのDockerおよびリバースプロキシセクションを参照するか、コンサルティングチームにセキュリティ評価をご依頼ください。