AI Perksは、スタートアップや開発者のコスト削減を支援するため、AIツール、クラウドサービス、APIの限定割引、クレジット、特典へのアクセスを提供します。
OpenClawのセキュリティ危機 - 2026年最大のAIエージェントスキャンダル
18万以上のGitHubスターを持つオープンソースAIエージェント、OpenClawがAIツール史上最悪のセキュリティ危機に見舞われています。 2026年2月、研究者たちは7つの重大な脆弱性、13万5千以上の露出したインスタンス、そして公式ClawHubマーケットプレイスを通じてマルウェアを配信する800以上の悪意のあるスキルを発見しました。
Googleは、OpenClawを使用する有料AIサブスクライバーの利用を禁止し始めました。Metaは、すべての業務デバイスでの利用を禁止しました。CrowdStrike、Cisco、Natureは緊急の勧告を発表しました。
OpenClawを実行している場合は、まずAI Perksを通じて正規のAPI認証情報を確保することが最優先事項です。侵害されたインスタンスからの漏洩および盗難されたキーは、すでにオンラインで流通しています。
AIツールで創業者の予算を節約
| Software | 推定クレジット | 承認指数 | アクション | |
|---|---|---|---|---|
危機タイムライン - 全てがどのように展開したか
この危機は一夜にして起こったわけではありません。セキュリティ研究者が脆弱性の層を剥がしていくにつれて、3週間にわたってエスカレートしました。
| 日付 | イベント |
|---|---|
| 1月29日 | OpenClaw v2026.1.29でCVE-2026-25253がサイレントにパッチ適用 |
| 2月3日 | CVE-2026-25253が公に開示 - CVSS 8.8(ワンクリックRCE) |
| 2月4日 | 追加のコマンドインジェクションCVEが開示 |
| 2月5日 | 研究者がClawHubで341の悪意のあるスキルを発見(レジストリの約12%) |
| 2月6日 | Moltbookの侵害により150万のAPIトークンが露呈 |
| 2月7-8日 | GoogleがOpenClawを使用するAIサブスクライバーを制限し始める |
| 2月9日 | SecurityScorecardが40,000以上のOpenClawインスタンスの露出を報告 |
| 2月15日 | 露出したインスタンスが135,000以上に増加;悪意のあるスキルが800以上に増加 |
| 2月17日 | Cline CLI 2.3.0のサプライチェーン攻撃によりOpenClawがステルスでインストールされる |
| 2月20日 | Metaが業務デバイスでOpenClawを禁止;The Registerが完全なClineレポートを公開 |
3週間。 OpenClawが史上最もエキサイティングなオープンソースプロジェクトから、AIにおける最大のセキュリティ教訓話へと変化する速さです。
AI Perksは、スタートアップや開発者のコスト削減を支援するため、AIツール、クラウドサービス、APIの限定割引、クレジット、特典へのアクセスを提供します。
OpenClawを揺るがした7つの脆弱性
7つのCVEが数週間のうちに開示されました。3つには公開されたエクスプロイトコードがあり、これは誰でもパッチが適用されていないインスタンスに対してそれらを使用できることを意味します。
CVE-2026-25253 - ワンクリックリモートコード実行(CVSS 8.8)
これが大きな問題でした。WhatsApp、Telegram、Discordなどのメッセージングプラットフォームを通じて送信された悪意のあるリンクは、数ミリ秒でOpenClawインスタンス全体を乗っ取ることができました。
この脆弱性はgatewayURLクエリパラメータを悪用して認証トークンを漏洩させました。攻撃者がトークンを入手すると、被害者のマシン上で任意のコマンドを実行できました。ワンクリックで完全なシステムアクセスが可能になります。
修正は1月29日にv2026.1.29でリリースされましたが、CVEは2月3日まで公に開示されませんでした。研究者たちは、数週間にわたって数千のインスタンスにパッチが適用されなかったと推定しています。
その他の6つのCVE
| 脆弱性 | タイプ | 重大度 | 影響 |
|---|---|---|---|
| SSRF (サーバーサイドリクエストフォージェリ) | ネットワーク | 高 | 攻撃者がOpenClawを通じて内部サービスにアクセス |
| 認証の欠落 | アクセス制御 | 重大 | 露出したインスタンスを制御するために認証情報が不要 |
| パスツリーバーサル | ファイルシステム | 高 | ホストマシン上の任意のファイルを読み取りまたは書き込み |
| コマンドインジェクション | 実行 | 高 | 作成された入力によりシステムコマンドを実行 |
| トークン漏洩(ゲートウェイ) | 認証 | 重大 | 悪意のあるURLを介してセッショントークンを盗む |
| 不安全なデフォルト設定 | 設定 | 中 | 0.0.0.0:18789にバインド - すべてのネットワークインターフェイスでリッスン |
デフォルト設定の問題は特に注意に値します。そのままの状態では、OpenClawはポート18789ですべてのネットワークインターフェイスで認証不要でリッスンします。これは、新しくインストールされたインスタンスは、同じネットワーク上の誰にでも、またはポートが露出している場合はインターネット全体にすぐにアクセス可能であることを意味します。
135,000の露出したインスタンス - 問題の規模
SecurityScorecardのSTRIKEチームは、インターネット全体のスキャンを実施し、その数字が驚異的であることを発見しました。
主な発見事項:
- 135,000以上のOpenClawインスタンスがインターネットに公開されている
- 露出したインスタンスの**93.4%**が認証バイパス条件を示した
- 5,194のインスタンスが既知のCVEに対して脆弱であることが積極的に検証された
- 53,000以上のインスタンスが既知の脅威アクターに関連付けられたIPアドレスにリンクされている
数字は急速に増加しました。2月9日の初期の独立した調査では、42,665の露出したインスタンスが発見されました。6日後、その数は3倍以上に増加しました。
「露出」とはどういう意味ですか? それは、OpenClawインスタンスが認証なしでインターネットから到達可能であることを意味します。それを見つけた人は誰でもコマンドを送信し、データを読み取り、接続されているメッセージングアカウントにアクセスし、ホストマシン上でコードを実行できます。
AI Perksから正規のAPI認証情報を使用してOpenClawを実行しているユーザーは、ご自身のインスタンスが一般にアクセス可能かどうかをすぐに確認してください。もしそうであれば、シャットダウンし、APIキーをローテーションし、再接続する前に認証を有効にしてください。
800以上の悪意のあるスキル - ClawHubサプライチェーン攻撃
ClawHubはOpenClawの公式スキルマーケットプレイスであり、Node.jsのnpmやPythonのpipに相当します。危機が始まる時点で約3,000以上のスキルがありました。
研究者たちは、その20%が悪意のあるものであることを発見しました。
2月5日の初期スキャンでは、レジストリ全体で341の悪意のあるスキルが発見されました。2月15日のフォローアップスキャンでは、その数は800以上に増加しました。これは、ClawHubスキルの約5分の1がユーザーデータを盗むために設計されていたことを意味します。
悪意のあるスキルが実行すること
主なペイロードは**Atomic macOS Stealer (AMOS)**でした。これは、以下を標的とする有名な認証情報窃盗マルウェアです。
- ブラウザのパスワードとCookie(Chrome、Firefox、Safari、Brave)
- 仮想通貨ウォレット(MetaMask、Phantom、Coinbase Wallet)
- macOS上のキーチェーンパスワード
- システム認証情報およびSSHキー
この期間中に未検証のClawHubスキルをインストールしたユーザーは、ご自身の認証情報が侵害されたと見なすべきです。
Cline CLIサプライチェーン攻撃(2月17日)
2月17日、セキュリティ研究者たちは、人気のあるコマンドラインツールであるCline CLIバージョン2.3.0が、ユーザーのマシンにOpenClawをステルスでインストールするように侵害されていたことを発見しました。悪意のあるバージョンは約8時間利用可能でしたが、発見されて削除されました。
この期間中に推定4,000のダウンロードが発生しました。この期間中にCline CLIをインストールしたユーザーは、ご自身の知らないうちにOpenClawインスタンスが実行されている可能性があります。
GoogleとMetaがOpenClawを禁止 - 業界の対応
このセキュリティ危機は、大手テクノロジー企業からの反発を引き起こしました。
Googleは、OpenClawを使用してモデルにアクセスしていた有料Gemini AI ProおよびUltraサブスクライバー(月額249ドルプラン)に対して、大規模な制限を開始しました。ユーザーは、警告なしに利用停止され、支払っていたサービスへのアクセスを失ったと報告しました。Googleの見解:サードパーティツールを使用してAIモデルにアクセスすることは、利用規約に違反します。
Metaは、すべての業務デバイスでのOpenClawの利用を禁止する内部指令を発行しました。従業員は、OpenClawの使用が解雇につながる可能性があると警告されました。Korea Timesの報道によると、他の複数のテクノロジー企業も同様の措置を取りました。
CrowdStrikeは、OpenClawを「新しいクラスのセキュリティリスク - ほとんどのユーザーが基本的なセキュリティ衛生なしに展開する、広範なシステムアクセスを持つ自律エージェント」と呼ぶ詳細な勧告を発表しました。
Ciscoは、セキュリティチームからのブログ投稿で、OpenClawのような個人用AIエージェントを「セキュリティの悪夢」と説明しました。
Natureは、「OpenClaw AIチャットボットが暴走している - これらの科学者たちは耳を傾けている」というタイトルの記事を公開し、学術界の懸念の高まりを記録しました。
業界からのメッセージは明確でした:OpenClawは強力ですが、デフォルトのセキュリティ体制はプロフェッショナルな使用には受け入れられません。
OpenClawを実行している場合の自己防衛策
危機は深刻ですが、適切な予防措置を講じればOpenClawは依然として使用可能です。以下は、最も重要なものから始まる必須の手順です。
ステップ1:正規のAPIクレジットを取得する
インターネットから漏洩、共有、または「無料」のAPIキーを絶対に使用しないでください。 Moltbookの侵害により150万のAPIトークンが漏洩しました。盗まれたキーは、ダークウェブフォーラムやTelegramチャンネルで流通しています。
AI Perksを通じて独自の正規クレジットを取得してください:
| クレジットプログラム | 利用可能なクレジット | 入手方法 |
|---|---|---|
| Anthropic Claude (ダイレクト) | $1,000 - $25,000 | AI Perksガイド |
| OpenAI (GPT-4) | $500 - $50,000 | AI Perksガイド |
| AWS Activate (Bedrock) | $1,000 - $100,000 | AI Perksガイド |
| Microsoft Founders Hub | $500 - $1,000 | AI Perksガイド |
合計可能性:$3,000 - $176,000の正規クレジット
AI Perksから独自のキーを持つことで、何が公開されるかを制御できます。侵害が発生した場合、侵害されたインフラストラクチャに依存することなく、すぐにキーをローテーションできます。
ステップ2:v2026.2.22に直ちにアップデートする
最新リリースには、40以上のセキュリティ強化修正、ゲートウェイ認証、およびデバイス管理が含まれています。バージョンを確認してアップデートしてください:
openclaw --version
openclaw update
2026.1.29より前のバージョンは、ワンクリックRCEに対して脆弱です。2026.2.22より前のバージョンは、重要なセキュリティ強化が欠けています。
ステップ3:認証を有効にする
OpenClawはデフォルトで認証が無効で出荷されます。これが、露出したインスタンスの93.4%が認証バイパスを経験した最大の理由です。
設定で有効にしてください:
security:
authentication: true
gateway_auth: true
ステップ4:インストールされているスキルを監査する
個人的に検証したことのないClawHubスキルはすべて削除してください。レジストリの20%が侵害されているため、最も安全なアプローチはすべてアンインストールし、レビューしたスキルのみを再インストールすることです。
openclaw skill list
openclaw skill inspect [skill-name]
openclaw skill remove [suspicious-skill]
ステップ5:完全な強化ガイドに従う
ネットワーク制限、サンドボックス設定、ロギング、および支出制限をカバーする完全な10ステップのセキュリティチェックリストについては、OpenClawセキュリティガイドをお読みください。
検討に値するより安全な代替手段
セキュリティ危機によりOpenClawの再考を余儀なくされている場合、セキュリティを管理してくれるマネージド代替手段があります。トレードオフ:カスタマイズ性は低いですが、心配するCVEはありません。
| 機能 | OpenClaw (セルフホスト) | Claude Code | Manus AI | ChatGPT Agent |
|---|---|---|---|---|
| セキュリティモデル | 全てを管理 | Anthropic管理 | Meta管理 | OpenAI管理 |
| CVE履歴 | 2026年2月に7件のCVE | 公開されているものなし | 公開されているものなし | 公開されているものなし |
| データ所在地 | ご利用のデバイス | クラウド | クラウドサンドボックス | クラウド |
| カスタマイズ性 | 完全な制御 | コード中心 | タスク中心 | 一般用途 |
| コスト | APIクレジットのみ | $20-$200/月 | $39-$199/月 | $20-$200/月 |
すべての代替手段は、フル稼働させるためにAI APIクレジットを必要とします。AI Perksは、Anthropic、OpenAI、AWS、Google Cloudなどのクレジットプログラムをカバーしています。これにより、どのツールを選択しても対応できます。
各代替手段の詳細な内訳については、最高のOpenClaw代替手段ガイドをご覧ください。
よくある質問
OpenClawは2026年2月にハッキングされましたか?
OpenClaw自体は、従来の意味でのハッキングはされていません。7つの重大な脆弱性が発見・開示され、135,000以上のインスタンスが認証なしでインターネットに露出していることが判明し、ClawHubで800以上の悪意のあるスキルが認証情報窃盗マルウェアを配信していることが見つかりました。Moltbookの侵害により、150万のAPIトークンも漏洩しました。
OpenClawは現在安全に使用できますか?
はい、適切な設定が必要です。v2026.2.22にアップデートし、認証を有効にし、スキルを監査し、AI Perksから正規のAPI認証情報を使用してください。強化されていないデフォルトのインストールは安全ではありませんが、最新のパッチが適用され適切に設定されたインスタンスは、既知のすべての脆弱性に対処します。
GoogleはなぜOpenClawユーザーを禁止したのですか?
Googleは、GoogleのAIモデルにサードパーティツールを介してアクセスするためにOpenClawを使用していた有料Gemini AIサブスクライバーを制限しました。これはGoogleの利用規約に違反します。ユーザーは、警告なしに月額249ドルのプランへのアクセスを失ったと報告しました。コンシューマーサブスクリプションではなく、AI PerksからのダイレクトAPIクレジットを使用してください。
Cline CLIサプライチェーン攻撃とは何ですか?
2026年2月17日、Cline CLIバージョン2.3.0は、ユーザーのマシンにOpenClawをステルスでインストールするように侵害されました。悪意のあるバージョンは約8時間利用可能でしたが、削除されました。推定4,000のダウンロードが発生しました。この期間中にCline CLIをインストールした場合は、不正なOpenClawのインストールがないか確認してください。
ClawHubにはいくつ悪意のあるOpenClawスキルが存在しますか?
2026年2月中旬現在、研究者たちはClawHubで800以上の悪意のあるスキルを発見しました。これは、レジストリ全体の約20%に相当します。主なペイロードはAtomic macOS Stealer(AMOS)であり、ブラウザのパスワード、仮想通貨ウォレット、およびシステム認証情報を標的としています。個人的にレビューしたスキルのみをインストールしてください。
OpenClawインスタンスが露出していた場合、どうすればよいですか?
直ちに:インスタンスをシャットダウンし、すべてのAPIキーをローテーションし、接続されているすべての(メール、メッセージングプラットフォーム、仮想通貨ウォレットなどの)アカウントのパスワードを変更し、マルウェアスキャンを実行してください。その後、v2026.2.22にアップデートし、認証を有効にし、再接続する前にAI Perksから新しい正規のAPIクレジットを取得してください。
セキュリティ危機の後、OpenClawはまだ使用する価値がありますか?
OpenClawは、依然として最も強力なオープンソースAIエージェントです。セキュリティ問題は、安全でないデフォルト設定と急速に成長するスキルエコシステムに起因しており、根本的な設計上の欠陥ではありません。適切な強化、正規の認証情報、および慎重なスキル管理があれば、依然として魅力的なツールです。重要な教訓:デフォルト設定で実行しないでください。
AIエージェントのためのセキュリティ危機の警鐘
OpenClawの危機は、厳しい真実を明らかにしました:システムレベルのアクセスを持つオープンソースAIエージェントには、厳格なセキュリティ衛生が必要です。 OpenClawをバイラルにした「インストールして実行」というデフォルトの体験は、135,000以上のインスタンスを露出させたのと同じものです。
OpenClaw Foundation(Peter Steinbergerの移籍後、現在はOpenAIが支援)は、これらの問題に積極的に取り組んでいます。バージョン2026.2.22には、40以上のセキュリティ強化パッチが含まれています。コミュニティはこの経験を通じてより強くなりました。
しかし、責任は依然としてあなたにあります。インストールをアップデートし、認証を有効にし、スキルを監査し、AI Perksから正規のAPI認証情報で始めてください。OpenClawを使い続けるか、マネージド代替手段に切り替えるかに関わらず、盗まれたキーではなく、正規のクレジットが必要です。
セキュリティ危機によって不必要に多くのコストがかかるのを防ぎましょう。getaiperks.comで正規のAIクレジットを取得し、安全にツールを実行してください。
