OpenClaw の成長は目覚ましいものでした。しかし GitHub スター 18 万、82 カ国へのデプロイという規模は、居心地の悪い現実を突きつけています——プロジェクトが攻撃対象になったのです。そして各国政府が動き始めました。
流れを変えた脆弱性
2026 年 2 月初旬、CVE-2026-25253 が公開されました。CVSS スコア 8.8(高)のワンクリック RCE(リモートコード実行)脆弱性です。
仕組みはこうです:OpenClaw の Control UI はクエリパラメータで渡されたゲートウェイ URL を自動的に信頼していました。攻撃者が悪意のあるリンクを作成すると、被害者のブラウザが認証トークンを含む WebSocket 接続を攻撃者のサーバーに対して開いてしまいます。トークンを手に入れれば、攻撃者は被害者の OpenClaw インスタンス上で任意のコマンドを実行できます。
v2026.1.29 で修正されましたが、この脆弱性は重要な問題を浮き彫りにしました——OpenClaw のセキュリティモデルは、ユーザーが自分のマシンでローカルに実行することを前提としていたのです。しかし現実には、多くのユーザーがインスタンスを公開インターネットに露出させていました。
数字で見る:42,900 の露出インスタンス
SecurityScorecard の STRIKE チームがグローバルスキャンを実施し、82 カ国で 42,900 の OpenClaw インスタンスが公開インターネットに露出していることを発見しました。そのうち 15,200 がリモートコード実行可能——つまり未パッチまたはデフォルト設定のまま稼働していたのです。
この数字を噛み砕くと:15,200 台のマシンが、インターネット上の誰でも HTTP リクエスト一つで乗っ取れる状態でした。
さらに Giskard の研究者が、デプロイ済みインスタンスにおけるデータ漏洩とプロンプトインジェクションの脆弱性を実証しました。巧妙に構成されたプロンプトで、稼働中の OpenClaw エージェントから秘密鍵、環境変数、その他の機密情報を 5 分以内に抽出できることを証明したのです。
最も懸念されるのは、公開露出インスタンスの 93% に重大な認証バイパスの脆弱性があったことです。デフォルト設定は公開露出に対して十分安全ではなかった——ドキュメントには現在、この点が明確に警告されています。
悪意あるスキルの問題
Bitdefender の研究チームが ClawHub(OpenClaw の公開スキルレジストリ)を分析し、約 4,500 パッケージ中およそ 900 の悪意あるスキルを発見しました——全体の約 20% です。
これらの悪意あるスキルは、ツールを装った認証情報窃取ツールから、持続的アクセスを提供するバックドアまで多岐にわたります。中には通常のコードレビューをすり抜けるほど巧妙なものもあり、難読化されたペイロードがインストール後にのみ起動する仕組みでした。
これは npm、PyPI、その他のパッケージレジストリで見られる問題と同じパターンですが、リスクはより深刻です。OpenClaw のスキルは通常システムレベルの権限で実行され、メッセージングアカウント、API キー、個人データにアクセスできるからです。
中国の対応:工業情報化部の警告
中国の工業情報化部(MIIT)が OpenClaw に特化したセキュリティ勧告を発行し、企業に対してインスタンスの公開露出状況を確認するよう警告しました。勧告の内容は以下の通りです:
- •すべての OpenClaw デプロイの公開露出を監査すること
- •ネットワークセグメンテーションで OpenClaw インスタンスを隔離すること
- •インストール済みスキルに既知の悪意あるパッケージがないか確認すること
- •最新のパッチバージョンに更新すること
注目すべきは、中国がプラットフォームレベルでは OpenClaw を積極的に受け入れていることです——Alibaba Cloud、Tencent Cloud、Volcano Engine、Baidu がいずれも OpenClaw ホスティングサービスを開始しています。MIIT の警告は、政府が機会とリスクの両面を認識していることを示しています。
韓国の対応:企業による使用禁止
韓国はより積極的な姿勢を取りました。複数の大手テック企業が社内禁止令を出しています:
- •Kakao が情報資産保護のため業務端末での OpenClaw 使用を制限
- •Naver が社内での OpenClaw 使用を全面禁止
- •Karrot(当根マーケット) が OpenClaw へのアクセスを完全にブロック
韓国の対応はデータ流出への懸念に端を発しています——具体的には、企業システムにアクセスできる AI エージェントがメッセージング連携を通じて機密情報を漏洩させるリスクです。AI アシスタントが Slack、メール、カレンダーを読み取り、その情報を WhatsApp や Telegram で転送できるとなれば、企業スパイの攻撃面は劇的に拡大します。
財団移行がセキュリティにもたらすもの
2026 年 2 月 14 日、OpenClaw 創設者の Peter Steinberger が OpenAI への参画を発表し、プロジェクトは OpenAI が支援する独立した 501(c)(3) 財団に移行することになりました。
セキュリティの観点では、希望と疑問の両方があります:
楽観的なシナリオ:企業の後ろ盾がある財団構造なら、専任のセキュリティエンジニアへの資金提供、正式なセキュリティ対応チームの設立、ClawHub の必須レビュープロセスの導入、定期的なセキュリティ監査の実施が可能になります。これらは個人メンテナーやボランティアコミュニティでは持続が難しいものです。
慎重なシナリオ:OpenAI の関与は利益相反を生む可能性があります。セキュリティに関する判断は純粋に技術的な観点から行われるのか、それともビジネス上の考慮が開示の内容やタイミングに影響するのか。財団の独立性は、重大な脆弱性が初めて OpenAI 自身の利益に影響した時に試されるでしょう。
- •資金に裏付けられた専任セキュリティチームと公開開示ポリシー
- •ClawHub スキルの必須コード署名とレビュー
- •CI/CD パイプラインでの自動脆弱性スキャン
- •実質的な報奨金を伴うバグバウンティプログラム
- •定期的な第三者セキュリティ監査と結果の公開
ユーザーが今すべきこと
OpenClaw を運用中なら、以下の対策を直ちに実施してください:
- 1.**アップデート**:v2026.2.21 以降を実行していることを確認
- 2.**公開露出の禁止**:リモートアクセスには VPN または SSH トンネルを使用
- 3.**スキルの監査**:インストール済みの全スキルを確認、特に不明な作者のもの
- 4.**認証の有効化**:デフォルトの認証情報のまま運用しない
- 5.**アクセスログの監視**:異常な接続パターンに注意
- 6.**ネットワーク分離**:OpenClaw インスタンスを機密システムから隔離
より大きな視点
OpenClaw のセキュリティ課題は特別なものではありません——あらゆるオープンソースプロジェクトが週末プロジェクトから重要インフラへと成長する過程で経験する成長痛です。npm には悪意あるパッケージがあり、Docker Hub にはクリプトマイナーがあり、PyPI にはタイポスクワッティング攻撃があります。
違いはリスクの大きさです。OpenClaw エージェントはメッセージングアカウント、メール、カレンダー、スマートホームデバイス、さらには企業システムにもアクセスできます。侵害された OpenClaw インスタンスは単なるハッキングされたサーバーではなく——デジタルライフ全体の侵害です。
財団への移行は、プロジェクトが必要とするセキュリティインフラを構築する最良の機会です。その可能性が実現するかどうかは、新しいガバナンス構造がセキュリティを後付けではなく最優先事項として扱えるかにかかっています。
この分野の動向を引き続き追跡し、新たな進展があれば報告します。