OpenClawの「便利さ」に潜む地雷原―4万台が丸見え、プラグインの12%がマルウェア
90日でGitHub星25万。爆発的に広まったOpenClawに、4万台の露出・マルウェア入りプラグイン・1クリック乗っ取りなど深刻な問題が次々発覚。手口と対策を解説。
堀川 慎
Backend Engineer / AWS / Django / Go
90日でGitHub星25万。爆発的に広まったOpenClawに、4万台の露出・マルウェア入りプラグイン・1クリック乗っ取りなど深刻な問題が次々発覚。手口と対策を解説。
90日でGitHub星25万、5社に1社がIT部門の承認なしで導入した
AIエージェント「OpenClaw」が、過去最速の記録でオープンソースの世界を駆け抜けています。2025年11月のリリースから90日でGitHubスター25万件超。スキルマーケットプレイス「ClawHub」には2,800件以上のプラグインが公開されています。
そしてトレンドマイクロの調査によれば、5社に1社がIT部門の承認なしにOpenClawを導入しています。
便利さと引き換えに、何が起きているのか。2026年1月末から2月にかけて、リモートコード実行(RCE)脆弱性、マルウェア入りプラグイン、設定ファイルの窃取、4万台超の露出インスタンスが同時多発的に発覚しました。
【続報・2026年6月】3か月でさらに悪化、露出は13.5万台に
本記事の公開(2026年3月)後も、OpenClawの問題は収束するどころか規模を広げています。トレンドマイクロの調査やセキュリティ各社の集計をもとに、3月時点と6月時点の数字を並べておきます。
| 項目 | 3月時点 | 6月時点 |
|---|---|---|
| 露出インスタンス | 約4万台 | 13.5万台超 (82か国・約63%が認証なし) |
| 悪性スキル(プラグイン) | 約12% | 約20% (820件超) |
| 公開されたCVE | 数件(主要なもの) | 5か月で100件超 |
| GitHubスター | 25万件超 | さらに増加 (最多級を維持) |
2026年6月には、新たなCVEがまとめて公開されました。CVE-2026-53821(WebSocketで権限スコープを偽る)、CVE-2026-53822(承認と実行の間でコマンドがすり替わるTOCTOU)、CVE-2026-53828(本来は持ち主だけのコマンドを実行)、CVE-2026-53836(PowerShellの許可リストの抜け道)の4件はいずれもCVSS 8.8で、テーマは共通しています。OpenClawがコマンドを実行する際の「ここまでは許す」という線引き(認可・許可リスト)が、次々とすり抜けられているという点です。
ただし、これら6月のCVEは「ログイン済みだが権限の低い利用者」が前提(PR:L)で、ログインなしで踏める穴ではありません。攻撃者はまず何らかの低権限の足がかりを得たうえで、そこから本来は許されない管理者級のコマンド実行へ昇格します。なお同時期のCVE-2026-53838(ノード再接続時の状態すり替え)は、採点元のVulnCheckが古い基準(CVSS 3.1)で9.8と付けた一方、新しい基準(CVSS 4.0)では6.0(中)と評価が割れています。本記事は誇張を避け、後者を含めて「条件が要る権限昇格」として扱います。これら6月のCVE単体について、実際の攻撃やPoC(実証コード)の公開は確認されていません。
一方で、プラットフォーム全体では現実の悪用が続いています。悪性スキルを使ってmacOS向け情報窃取マルウェア「Atomic Stealer(AMOS)」を配る「ClawHavoc」キャンペーンが報告され、3月に触れた1クリック乗っ取り「ClawJacked」につながるCVE-2026-25253は実際に悪用されていると報じられています。これらは上記6月のCVEとは別の動きですが、「OpenClawという土台が攻撃者に狙われ続けている」という状況は一貫しています。OpenClawはLINEなど日本で広く使われる連絡手段とも連携でき、トレンドマイクロ日本法人をはじめ国内でも注意喚起が出ています。具体的な対策は、本記事後半の「今すぐ確認すべきこと」をそのまま参照してください。
OpenClawとは何か―何ができて、なぜ爆発的に広まったのか
OpenClaw(旧称Clawdbot)は、オーストリア人開発者のピーター・スタインバーガーが開発したオープンソースのローカル実行型AIエージェントです。
AIエージェントとは、ユーザーの指示に基づいて「自分で考えて行動する」AIのことです。従来のAIチャット(ChatGPTなど)は「聞かれたことに答える」だけでしたが、AIエージェントはメールを送る、ファイルを整理する、カレンダーを調整するといった実際のタスクを自動で実行します。
OpenClawの特徴は以下の通りです。
OpenClawでできること
- ▸メール・カレンダー・ファイルシステム・Telegram・Discord・WhatsApp等を横断して自律的にタスク実行
- ▸ChatGPT(GPT-4)やClaude等の複数のAIモデルを接続可能
- ▸クラウドではなく自分のパソコン上で動作する(ローカル実行)
- ▸「ClawHub」マーケットプレイスからプラグイン(スキル)を追加できる
自分のパソコンで動くということは、パソコン上のすべてのファイル、APIキー、パスワード、ブラウザの認証情報にアクセスできるということでもあります。これが「便利さ」の源泉であり、同時にセキュリティの根本問題です。
「リンクを1つクリック」で何が起きるか
2026年2月3日、セキュリティ研究者のマヴ・レヴィンがCVE-2026-25253(深刻度スコア8.8/10)を公開しました。悪意のあるリンクを1回クリックするだけで、攻撃者がパソコンを完全に乗っ取れる脆弱性です。
攻撃の手口は3段階です。
CVE-2026-25253の攻撃チェーン
- 1.トークン窃取: OpenClawの画面を開くと、ブラウザが自動的に認証トークン(本人確認用の合言葉)を送信します。攻撃者が送ったリンクをクリックすると、この合言葉が攻撃者のサーバーに横取りされます
- 2.接続ハイジャック: 盗んだ合言葉を使って、攻撃者がOpenClawの管理者権限を取得します
- 3.任意コード実行: 管理者権限で「承認なしでコマンド実行」を有効化し、パソコン上で好きなプログラムを動かします。OpenClawがアクセスできるメール、ファイル、APIキー、クラウドストレージのすべてが攻撃者の手に渡ります
この脆弱性はバージョン2026.1.29(2026年1月30日リリース)で修正されましたが、修正前のバージョンを使い続けている環境は依然として危険です。
プラグインの12%にマルウェアが仕込まれていた
OpenClawの機能を拡張するプラグイン(「スキル」と呼ばれます)が集まるマーケットプレイス「ClawHub」で、大規模な汚染が発覚しました。
セキュリティ企業Koi Securityの監査によると、調査した2,857件のスキルのうち341件(約12%)が悪意のあるものでした。そしてその335件が「ClawHavoc」と名づけられた単一の組織的な攻撃作戦に紐づいていました。
ClawHavocのスキルは、Google Workspace連携・SNS自動化・暗号資産ウォレット・YouTubeツール・Polymarket取引botなど、人気のありそうな名前で偽装されていました。
仕込まれていたのは「AMOS」(Atomic macOS Stealer)というマルウェアです。トレンドマイクロの調査によると、AMOSは月額500〜1,000ドルでレンタルできる「サービスとしてのマルウェア」で、以下を盗みます。
AMOSが盗む情報
- ▸ブラウザに保存されたパスワード
- ▸macOSのキーチェーン(パスワード管理機能)
- ▸SSHキー(サーバーへの接続鍵)
- ▸150種類以上の暗号資産ウォレット
- ▸OpenClawの設定ファイル(APIキー・認証トークン)
2026年3月時点では、ClawHubのスキル総数は10,700件を超え、そのうち1,184件以上が悪意ありと報告されています。OpenClawは対策としてVirusTotalスキャンの統合を進めていますが、いたちごっこの様相です。
設定ファイルが盗まれると何が起きるか
2026年2月13日、BleepingComputerが報じた事例では、「Vidar」というマルウェアの亜種がOpenClawの設定ファイルを盗んでいました。
OpenClawを狙い撃ちにしたマルウェアではなく、パソコン内のファイルを片っ端からスキャンして「token」「private key」などのキーワードを含むファイルを盗む汎用型です。OpenClawの設定ファイル(~/.openclaw/openclaw.json)が、まさにそのキーワードに引っかかりました。
設定ファイルには以下が含まれています。
設定ファイルに入っている情報
- ▸OpenAI・Anthropic等のAIサービスのAPIキー(使った分だけ請求されるため、不正利用で数千ドルの請求が発生した事例あり)
- ▸TelegramやDiscordのbotトークン
- ▸ゲートウェイ認証トークン(これがあれば外部からOpenClawインスタンスに接続できる)
- ▸秘密鍵・暗号化キー
- ▸会話履歴やカレンダーイベント(メモリファイル)
つまり設定ファイル1つで、あなたのOpenClawを「コピー」できてしまいます。あなたのAPIキーでAIを使い、あなたのアカウントでメッセージを送り、あなたのクラウドストレージにアクセスできるのです。
4万台がインターネットに丸見えだった
SecurityScorecardの調査(2026年1月末)で、40,214件のOpenClawインスタンスがインターネットに直接露出していることが判明しました。
| 調査項目 | 数値 |
|---|---|
| 露出インスタンス総数 | 40,214件 (28,663ユニークIP) |
| 遠隔攻撃が可能 | 63%(約25,000件) |
| RCE(リモートコード実行) で悪用可能 | 12,812件 |
| 過去の侵害活動と相関 | 549件 |
2月中旬にはこの数字が13万5,000件以上にまで膨れ上がったとの報告もあります。地域別では中国が最多、次いで米国・シンガポール。業種では情報サービス・テクノロジー・製造業・通信が多く報告されています。
OpenClawは本来、自分のパソコン(localhost)だけで動作させるものです。しかしリモートアクセスしたい、あるいは設定を誤ったユーザーが、ポートをインターネットに公開してしまっているケースがこれだけの数に上っています。
ウェブサイトを見ただけで乗っ取られる(ClawJacked)
CVE-2026-25253(リンクをクリックする必要がある)よりもさらに深刻な攻撃手法が、セキュリティ企業Oasis Securityによって発見されました。その名も「ClawJacked」。リンクをクリックする必要すらなく、ウェブサイトを閲覧しただけでOpenClawが乗っ取られます。
手口は以下の通りです。
ClawJackedの攻撃チェーン
- 1.ブラウザは「localhost」(自分のパソコン内部)への通信を、セキュリティ保護の対象外として扱います
- 2.OpenClawのパスワード認証に回数制限がなく、ブラウザのJavaScriptから毎秒数百回のパスワード推測が可能(しかもログに残らない)
- 3.localhostからの接続はユーザーの確認なしに自動承認される
- 4.認証を突破すると、AIエージェントへの指示送信・設定の取得・APIキーの窃取・任意コード実行が可能に
つまり、攻撃者がJavaScriptを仕込んだウェブページを用意し、OpenClawを使っている人がそのページを訪問するだけで攻撃が成立します。OpenClawはバージョン2026.2.25以降でこの問題を修正しています。
今すぐ確認すべきこと
OpenClawを使っている方は、以下を今すぐ確認してください。
対策チェックリスト
- ✓バージョンを更新する: 最低でも2026.2.25以降にアップデート。CVE-2026-25253とClawJackedの両方が修正されています
- ✓インターネットに公開しない: OpenClawはlocalhost限定で動作させる。外部からアクセスが必要な場合はVPN経由のみ
- ✓高リスクツールを制限する: exec(プログラム実行)、browser(ウェブ閲覧)、web_fetch(外部接続)を明示的なallowlistで制限する
- ✓APIキーを確認する: OpenAI・Anthropic等のAPIキーに不審な利用がないか請求画面を確認。漏洩の可能性がある場合はローテーション(再発行)する
- ✓ClawHubスキルを精査する: インストール済みのスキルがVirusTotalで安全と判定されているか確認。不要なスキルは削除する
- ✓重要操作には承認を維持する: 金融取引やシェル実行など、取り返しのつかない操作には必ず人間の承認ステップを残す
- ✓セキュリティ監査を実行する:
openclaw security auditコマンドで定期的にチェック
企業でOpenClawを導入している場合は、Microsoftのセキュリティブログで公開されているゼロトラスト原則のガイドラインも参照してください。
「便利さ」と「危険さ」は同じドアから入ってくる
OpenClawが便利なのは、パソコン上のあらゆるものにアクセスできるからです。OpenClawが危険なのも、パソコン上のあらゆるものにアクセスできるからです。これは同じコインの裏表であり、片方だけを取り除くことはできません。
映画『ジュラシック・パーク』でイアン・マルコム博士はこう言いました。「できるかどうかに夢中になって、すべきかどうかを考えなかった」。OpenClawの開発者たちは「AIに何をさせられるか」を限界まで追求しました。しかし「AIにパソコンのすべてを触らせたとき、攻撃者にもパソコンのすべてを渡すことになる」という点は、25万スターが付いた後に気づいたようです。
OpenClaw自体が悪いわけではありません。脆弱性の修正も迅速に行われています。問題は、便利すぎるツールが、セキュリティの検証よりも速く広まってしまったことです。5社に1社がIT部門の承認なしに導入しているという事実が、すべてを物語っています。
AIエージェントの時代は始まったばかりです。便利さのドアを開けるなら、同じドアから何が入ってくるかも確認してください。
参照元
- 1.The Hacker News: OpenClaw Bug Enables One-Click RCE via Malicious Link
- 2.Infosecurity Magazine: Researchers Find 40,000+ Exposed OpenClaw Instances
- 3.The Hacker News: Researchers Find 341 Malicious ClawHub Skills
- 4.Trend Micro: Malicious OpenClaw Skills Used to Distribute Atomic macOS Stealer
- 5.BleepingComputer: Infostealer malware found stealing OpenClaw secrets
- 6.Oasis Security: ClawJacked - OpenClaw Vulnerability Enables Full Agent Takeover
- 7.トレンドマイクロ: OpenClawが描き出すエージェント型アシスタントの現在
- 8.Cisco: Personal AI Agents like OpenClaw Are a Security Nightmare
- 9.Microsoft Security Blog: Running OpenClaw safely
- 10.VirusTotal Blog: From Automation to Infection
- 11.SOCRadar: CVE-2026-25253 - 1-Click RCE in OpenClaw
- 12.CGTN: OpenClaw AI tool that broke every record