オープンソースのローカル実行型AIエージェント。メール・カレンダー・ファイルなどを横断して自律的にタスクを実行できます。90日でGitHubスター25万件超を記録。

OpenClawはなぜ危険なのか

パソコン上のすべてのファイル・APIキー・パスワードにアクセスできるため、脆弱性が悪用されるとマシン全体が完全に侵害されます。4万台超がインターネットに露出し、プラグインの12%にマルウェアが混入していました。

OpenClawのセキュリティ対策は

バージョン2026.2.25以降へのアップデート、localhost限定での実行、高リスクツールのallowlist制限、APIキーのローテーション、ClawHubスキルのVirusTotalスキャン確認が推奨されています。

CVE-2026-25253とは何か

OpenClawの1クリックリモートコード実行脆弱性（深刻度8.8/10）。悪意のあるリンクをクリックするだけで認証トークンが窃取され、パソコンが完全に乗っ取られます。

OpenClawの「便利さ」に潜む地雷原―4万台が丸見え、プラグインの12%がマルウェア

90日でGitHub星25万。爆発的に広まったOpenClawに、4万台の露出・マルウェア入りプラグイン・1クリック乗っ取りなど深刻な問題が次々発覚。手口と対策を解説。

90日でGitHub星25万、5社に1社がIT部門の承認なしで導入した

AIエージェント「OpenClaw」が、過去最速の記録でオープンソースの世界を駆け抜けています。2025年11月のリリースから90日でGitHubスター25万件超。スキルマーケットプレイス「ClawHub」には2,800件以上のプラグインが公開されています。

そしてトレンドマイクロの調査によれば、5社に1社がIT部門の承認なしにOpenClawを導入しています。

便利さと引き換えに、何が起きているのか。2026年1月末から2月にかけて、リモートコード実行（RCE）脆弱性、マルウェア入りプラグイン、設定ファイルの窃取、4万台超の露出インスタンスが同時多発的に発覚しました。

OpenClawとは何か―何ができて、なぜ爆発的に広まったのか

OpenClaw（旧称Clawdbot）は、オーストリア人開発者のピーター・スタインバーガーが開発したオープンソースのローカル実行型AIエージェントです。

AIエージェントとは、ユーザーの指示に基づいて「自分で考えて行動する」AIのことです。従来のAIチャット（ChatGPTなど）は「聞かれたことに答える」だけでしたが、AIエージェントはメールを送る、ファイルを整理する、カレンダーを調整するといった実際のタスクを自動で実行します。

OpenClawの特徴は以下の通りです。

OpenClawでできること

▸メール・カレンダー・ファイルシステム・Telegram・Discord・WhatsApp等を横断して自律的にタスク実行
▸ChatGPT（GPT-4）やClaude等の複数のAIモデルを接続可能
▸クラウドではなく自分のパソコン上で動作する（ローカル実行）
▸「ClawHub」マーケットプレイスからプラグイン（スキル）を追加できる

自分のパソコンで動くということは、パソコン上のすべてのファイル、APIキー、パスワード、ブラウザの認証情報にアクセスできるということでもあります。これが「便利さ」の源泉であり、同時にセキュリティの根本問題です。

「リンクを1つクリック」で何が起きるか

2026年2月3日、セキュリティ研究者のマヴ・レヴィンがCVE-2026-25253（深刻度スコア8.8/10）を公開しました。悪意のあるリンクを1回クリックするだけで、攻撃者がパソコンを完全に乗っ取れる脆弱性です。

攻撃の手口は3段階です。

CVE-2026-25253の攻撃チェーン

1.トークン窃取: OpenClawの画面を開くと、ブラウザが自動的に認証トークン（本人確認用の合言葉）を送信します。攻撃者が送ったリンクをクリックすると、この合言葉が攻撃者のサーバーに横取りされます
2.接続ハイジャック: 盗んだ合言葉を使って、攻撃者がOpenClawの管理者権限を取得します
3.任意コード実行: 管理者権限で「承認なしでコマンド実行」を有効化し、パソコン上で好きなプログラムを動かします。OpenClawがアクセスできるメール、ファイル、APIキー、クラウドストレージのすべてが攻撃者の手に渡ります

この脆弱性はバージョン2026.1.29（2026年1月30日リリース）で修正されましたが、修正前のバージョンを使い続けている環境は依然として危険です。

プラグインの12%にマルウェアが仕込まれていた

OpenClawの機能を拡張するプラグイン（「スキル」と呼ばれます）が集まるマーケットプレイス「ClawHub」で、大規模な汚染が発覚しました。

セキュリティ企業Koi Securityの監査によると、調査した2,857件のスキルのうち341件（約12%）が悪意のあるものでした。そしてその335件が「ClawHavoc」と名づけられた単一の組織的な攻撃作戦に紐づいていました。

ClawHavocのスキルは、Google Workspace連携・SNS自動化・暗号資産ウォレット・YouTubeツール・Polymarket取引botなど、人気のありそうな名前で偽装されていました。

仕込まれていたのは「AMOS」（Atomic macOS Stealer）というマルウェアです。トレンドマイクロの調査によると、AMOSは月額500〜1,000ドルでレンタルできる「サービスとしてのマルウェア」で、以下を盗みます。

AMOSが盗む情報

▸ブラウザに保存されたパスワード
▸macOSのキーチェーン（パスワード管理機能）
▸SSHキー（サーバーへの接続鍵）
▸150種類以上の暗号資産ウォレット
▸OpenClawの設定ファイル（APIキー・認証トークン）

2026年3月時点では、ClawHubのスキル総数は10,700件を超え、そのうち1,184件以上が悪意ありと報告されています。OpenClawは対策としてVirusTotalスキャンの統合を進めていますが、いたちごっこの様相です。

設定ファイルが盗まれると何が起きるか

2026年2月13日、BleepingComputerが報じた事例では、「Vidar」というマルウェアの亜種がOpenClawの設定ファイルを盗んでいました。

OpenClawを狙い撃ちにしたマルウェアではなく、パソコン内のファイルを片っ端からスキャンして「token」「private key」などのキーワードを含むファイルを盗む汎用型です。OpenClawの設定ファイル（~/.openclaw/openclaw.json）が、まさにそのキーワードに引っかかりました。

設定ファイルには以下が含まれています。

設定ファイルに入っている情報

▸OpenAI・Anthropic等のAIサービスのAPIキー（使った分だけ請求されるため、不正利用で数千ドルの請求が発生した事例あり）
▸TelegramやDiscordのbotトークン
▸ゲートウェイ認証トークン（これがあれば外部からOpenClawインスタンスに接続できる）
▸秘密鍵・暗号化キー
▸会話履歴やカレンダーイベント（メモリファイル）

つまり設定ファイル1つで、あなたのOpenClawを「コピー」できてしまいます。あなたのAPIキーでAIを使い、あなたのアカウントでメッセージを送り、あなたのクラウドストレージにアクセスできるのです。

4万台がインターネットに丸見えだった

SecurityScorecardの調査（2026年1月末）で、40,214件のOpenClawインスタンスがインターネットに直接露出していることが判明しました。

調査項目	数値
露出インスタンス総数	40,214件（28,663ユニークIP）
遠隔攻撃が可能	63%（約25,000件）
RCE（リモートコード実行）で悪用可能	12,812件
過去の侵害活動と相関	549件

2月中旬にはこの数字が13万5,000件以上にまで膨れ上がったとの報告もあります。地域別では中国が最多、次いで米国・シンガポール。業種では情報サービス・テクノロジー・製造業・通信が多く報告されています。

OpenClawは本来、自分のパソコン（localhost）だけで動作させるものです。しかしリモートアクセスしたい、あるいは設定を誤ったユーザーが、ポートをインターネットに公開してしまっているケースがこれだけの数に上っています。

ウェブサイトを見ただけで乗っ取られる（ClawJacked）

CVE-2026-25253（リンクをクリックする必要がある）よりもさらに深刻な攻撃手法が、セキュリティ企業Oasis Securityによって発見されました。その名も「ClawJacked」。リンクをクリックする必要すらなく、ウェブサイトを閲覧しただけでOpenClawが乗っ取られます。

手口は以下の通りです。

ClawJackedの攻撃チェーン

1.ブラウザは「localhost」（自分のパソコン内部）への通信を、セキュリティ保護の対象外として扱います
2.OpenClawのパスワード認証に回数制限がなく、ブラウザのJavaScriptから毎秒数百回のパスワード推測が可能（しかもログに残らない）
3.localhostからの接続はユーザーの確認なしに自動承認される
4.認証を突破すると、AIエージェントへの指示送信・設定の取得・APIキーの窃取・任意コード実行が可能に

つまり、攻撃者がJavaScriptを仕込んだウェブページを用意し、OpenClawを使っている人がそのページを訪問するだけで攻撃が成立します。OpenClawはバージョン2026.2.25以降でこの問題を修正しています。

今すぐ確認すべきこと

OpenClawを使っている方は、以下を今すぐ確認してください。

対策チェックリスト

✓バージョンを更新する: 最低でも2026.2.25以降にアップデート。CVE-2026-25253とClawJackedの両方が修正されています
✓インターネットに公開しない: OpenClawはlocalhost限定で動作させる。外部からアクセスが必要な場合はVPN経由のみ
✓高リスクツールを制限する: exec（プログラム実行）、browser（ウェブ閲覧）、web_fetch（外部接続）を明示的なallowlistで制限する
✓APIキーを確認する: OpenAI・Anthropic等のAPIキーに不審な利用がないか請求画面を確認。漏洩の可能性がある場合はローテーション（再発行）する
✓ClawHubスキルを精査する: インストール済みのスキルがVirusTotalで安全と判定されているか確認。不要なスキルは削除する
✓重要操作には承認を維持する: 金融取引やシェル実行など、取り返しのつかない操作には必ず人間の承認ステップを残す
✓セキュリティ監査を実行する: openclaw security audit コマンドで定期的にチェック

企業でOpenClawを導入している場合は、Microsoftのセキュリティブログで公開されているゼロトラスト原則のガイドラインも参照してください。

「便利さ」と「危険さ」は同じドアから入ってくる

OpenClawが便利なのは、パソコン上のあらゆるものにアクセスできるからです。OpenClawが危険なのも、パソコン上のあらゆるものにアクセスできるからです。これは同じコインの裏表であり、片方だけを取り除くことはできません。

映画『ジュラシック・パーク』でイアン・マルコム博士はこう言いました。「できるかどうかに夢中になって、すべきかどうかを考えなかった」。OpenClawの開発者たちは「AIに何をさせられるか」を限界まで追求しました。しかし「AIにパソコンのすべてを触らせたとき、攻撃者にもパソコンのすべてを渡すことになる」という点は、25万スターが付いた後に気づいたようです。

OpenClaw自体が悪いわけではありません。脆弱性の修正も迅速に行われています。問題は、便利すぎるツールが、セキュリティの検証よりも速く広まってしまったことです。5社に1社がIT部門の承認なしに導入しているという事実が、すべてを物語っています。

AIエージェントの時代は始まったばかりです。便利さのドアを開けるなら、同じドアから何が入ってくるかも確認してください。