OpenClawは安全に使えますか？

Microsoft Security Blogは2026年2月19日に「OpenClawを未信頼コード実行として扱うべき」と勧告しています。安全に使うには、専用VMまたは物理的に隔離された環境での実行、v2026.2.19以上への更新、接続するAPIキーと権限の最小化が最低条件です。通常の業務用PCでの実行はMicrosoftも不適切としています。

OpenClawとClaude Codeは何が違いますか？

OpenClawはWhatsApp・Telegram・Slack等のメッセージングアプリから操作する汎用AIエージェントで、Claude Codeはターミナルで動作するコーディング特化CLIです。セキュリティ設計が根本的に異なり、Claude Codeはサンドボックスと権限モデルを備えていますが、OpenClawはフルディスクアクセスを前提とした設計です。用途に応じて選択してください。

ClawHubのスキルは全部危険ですか？

全体の約20%（800件超）が悪意あるスキルとBitdefenderが報告しています。特に暗号通貨ユーティリティ（111件）、YouTube関連（57件）、予測市場（34件）のカテゴリに集中しています。スキルはサードパーティのコードとして扱い、導入前のコードレビューを推奨します。

OpenClawを既にインストールしている場合どうすべきですか？

まずv2026.2.19以上に更新してください。次に~/.openclaw/ディレクトリ内の認証情報（APIキー、OAuthトークン）を監査し、不要なものを削除します。TCP 18789番ポートが外部に公開されていないかネットワーク設定を確認し、使用していない場合は完全にアンインストールすることを推奨します。

Dev Tools 2026年2月21日 23分で読める

OpenClaw（旧Moltbot）のセキュリティリスク総点検｜512件の脆弱性とMeta使用禁止の背景【2026年2月】

#OpenClaw #セキュリティ #AIエージェント #脆弱性 #CVE #Moltbot #Microsoft #Meta

この記事はこんな人におすすめ

AIエージェントツール（OpenClaw / Moltbot）を導入済みまたは検討中のエンジニア
チームのAIツール導入・セキュリティポリシーを管理する立場の方
AIエージェントの安全性について判断材料がほしいフリーランス・PM

要点: (1) Kaspersky監査で512件の脆弱性（クリティカル8件）、(2) Microsoftが「通常PCでの実行は不適切」と勧告、(3) Meta社内使用禁止。今最も注目のAIエージェントの光と影を整理する

GitHub星19万。npm週間ダウンロード60万。そして脆弱性512件。

2025年末にオーストリア人開発者Peter Steinbergerが公開したAIエージェントフレームワーク「OpenClaw」は、わずか90日でオープンソース史上最速クラスの成長を遂げた。WhatsAppやTelegramからAIに直接指示を出し、ブラウザ操作からファイル管理、スケジュール調整まで自律的にこなす。「本当にタスクをこなすAI」として爆発的に広まった。

だが、その成長速度にセキュリティが追いついていない。2026年2月17日にはMetaが社内デバイスでの使用を禁止。2日後の2月19日、Microsoft Security Blogが「OpenClawを未信頼コード実行として扱え」と題した公式ガイドを公開した。

何が起きているのか。エンジニアとして知っておくべきリスクと対策を整理した。

OpenClawとは何か

OpenClawは、ローカルマシン上で動作するオープンソースのAIエージェントフレームワークだ。WhatsApp、Telegram、Slack、iMessage、Discord、Web UI、CLIなど複数のインターフェースからAIエージェントを操作できる。

アーキテクチャはハブ＆スポーク型。Gateway（WebSocketサーバー）が各メッセージングプラットフォームからの入力を受け取り、Agent Runtimeがコンテキスト組立→モデル推論→ツール実行→ストリーミング返信→状態永続化のループを回す。MCPプロトコルでGoogle Calendar、Notion、Home Assistantなどの外部サービスとも接続する。

創設者のSteinbergerは、PDFツール「PSPDFKit」をブートストラップで創業し、Apple・Dropboxなど10億台以上のデバイスで使われるプロダクトに育てた実績を持つ。約1億ユーロでExitした後、バーンアウトを経て2025年4月にAI開発に復帰。「存在しないのが不満だったから、プロンプトで生み出した」と語っている。

5回の改名

OpenClawは驚異的なペースで名前が変わった。最初はWarelay（2025年11月）、次にClawdis（12月）、Clawdbot（2026年1月初旬）。ここでAnthropicから商標通知が入る。「Clawd」が「Claude」に類似しているという指摘だ。Steinbergerは即座に同意しMoltbot（ロブスターの脱皮=moltに由来）に改名。最終的に2026年1月30日にOpenClawに落ち着いた。同日、10万GitHub Starsを突破している。

2026年2月14日、SteinbergerはOpenAIへの加入とOpenClawのオープンソース財団への移管を発表した。Sam Altmanは彼を「a genius with a lot of amazing ideas about the future of very smart agents」と評している。

数字で見るOpenClawの規模

指標	数値	出典
GitHub Stars	190,000+	GitHub
npm週間ダウンロード	596,617	npm
外部公開インスタンス	42,665件	Infosecurity Magazine
脆弱性（Kaspersky監査）	512件（クリティカル8件）	Kaspersky
ClawHub悪意あるスキル	800+件（全体の約20%）	Bitdefender
Moltbook漏洩APIキー	150万件	Wiz
Cline攻撃影響DL数	約4,000件	StepSecurity

左列の成長指標と右列のセキュリティ指標が、同じプロダクトのものとは思えない対比になっている。

セキュリティ問題の全体像

OpenClawのセキュリティリスクは単一の脆弱性ではなく、複数の攻撃面が同時に存在する構造的な問題だ。

それぞれの攻撃ベクターを詳しく見ていく。

CVE-2026-25253：ワンクリックでフルアクセス

公開情報として最も詳細に分析されたのが、CVSSスコア8.8（High）のCVE-2026-25253だ。depthfirstチームのMav Levinが発見した。

攻撃チェーンは3ステップで完結する。

gatewayUrlの悪用: OpenClawのWeb UIに gatewayUrl というクエリパラメータがあり、これが未検証のまま使われていた。攻撃者はこのパラメータに自分のサーバーのURLを指定したリンクを用意する
WebSocketハイジャック: GatewayのWebSocket接続がOriginヘッダーを検証していなかった。悪意あるWebページからクロスサイトでWebSocket接続を確立できる
フルアクセス取得: Gateway APIを乗っ取り、エージェントの権限でコマンドを実行。ファイルの読み書き、シェルコマンドの実行、認証情報の取得が可能になる

衝撃的なのは、localhostにバインドしたインスタンスでも攻撃可能だった点だ。「外部に公開していないから安全」という前提が崩れていた。

この脆弱性はv2026.1.29（2026年1月30日リリース）で修正済みだ。まだ古いバージョンを使っている場合は直ちにアップデートすべきだ。

ClawHub：マーケットプレイスの20%が悪意あるスキル

OpenClawには「ClawHub」というスキル（プラグイン）マーケットプレイスがある。Bitdefenderの調査によれば、登録されている10,700以上のスキルのうち、800件超（約20%）が悪意あるスキルだった。初期監査では2,857中341件（12%）だったが、スキル数の増加とともに悪意あるスキルの比率も上がっている。

このキャンペーンは「ClawHavoc」と名付けられた。主な攻撃パターンは以下の通りだ。

macOSユーザーへの攻撃: Atomic macOS Stealer（AMOS）を配布。iCloud Keychain、ブラウザに保存されたパスワード、60種以上の暗号資産ウォレットのデータを窃取する。

Windowsユーザーへの攻撃: VMProtectで難読化されたインフォスティーラー（RAT + キーロガー）を配布。

手口は巧妙だ。スキルの説明に「Prerequisites（前提条件）」というセクションを設け、curl | bash パターンのコマンドを実行させる。これはClickFix攻撃パターンと呼ばれる手法で、ユーザー自身にマルウェアをインストールさせる。

悪意あるスキルが多いカテゴリも判明している。

カテゴリ	悪意あるスキル数
暗号通貨ユーティリティ	111件
YouTube関連	57件
金融・SNS	51件
予測市場	34件
自動更新	28件
Google Workspace	17件

スキルはサードパーティのコードそのものだ。npm packageを未検証でインストールしないのと同じ感覚で、ClawHubのスキルも扱うべきだろう。

Moltbook：「コードは一行も書いていない」SNSの顛末

OpenClawエコシステムの周辺プロダクトでも問題が起きた。Moltbookは2026年1月28日に公開されたAIエージェント専用SNSだ。投稿権限はAIエージェントのみ、人間は閲覧のみというコンセプトで、3週間で160万アクティブエージェントを集めた。

公開数日後、セキュリティ企業Wizの研究者がデータベースが丸ごと露出していることを発見した。

原因はシンプルだ。Supabase APIキーがクライアントサイドのJavaScriptに埋め込まれており、Row Level Security（RLS）が設定されていなかった。結果、全テーブルにフルアクセス可能な状態で、メールアドレス35,000件とAPIトークン150万件が漏洩した。

創設者のMatt Schlichtは「コードは一行も書いていない」と公言していた。いわゆる「バイブコーディング」、つまりAIへの指示だけでプロダクトを構築する手法だ。セキュリティの基本設定が抜け落ちていた事実は、AIだけでプロダクトを構築する手法が持つリスクの一端を示している。

Clineサプライチェーン攻撃：別ツール経由の汚染

2026年2月17日、VS Code拡張機能「Cline」のnpmパッケージが改ざんされた事件も発生した。

侵害されたnpmトークンを使い、攻撃者が cline@2.3.0 を公開。postinstall スクリプトに npm install -g openclaw@latest が仕込まれていた。3:26 AM PT から11:30 AM PTまでの約8時間で、約4,000件がダウンロードされた。

OpenClaw自体は悪意あるソフトウェアではないが、フルディスクアクセスと広範な権限を持つツールが、ユーザーの意図しない形でインストールされた点が問題だ。Cline側はv2.4.0をリリースし、v2.3.0を非推奨化、侵害されたトークンを失効させ、OIDC認証に移行した。

AIツールのサプライチェーン攻撃は新しいカテゴリのリスクだ。VS Code拡張機能の脆弱性問題（VS Code拡張機能の脆弱性まとめ）と合わせて、開発環境そのものが攻撃対象になっている現実を直視すべきだろう。

大手企業の公式見解

Microsoft Security Blog（2026年2月19日）

Microsoftは「Running OpenClaw safely: identity, isolation, and runtime risk」と題した記事で、OpenClawの3つの主要リスクを指摘した。

認証情報・データの漏洩: 保存された資格情報が外部に公開されるリスク
永続メモリの改ざん: 攻撃者がメモリに悪意ある指示を注入し、時間差で攻撃を実行するリスク
ホスト環境の侵害: 悪意あるコードのダウンロード・実行を誘導されるリスク

結論として「通常の業務用PCでの実行は不適切」とし、完全隔離環境（専用VMまたは物理的に別のマシン）でのみ評価すべきと勧告した。

Meta（2026年2月17日）

複数の報道によると、Meta幹部は「通常の業務PCへのOpenClawインストールは解雇につながる可能性がある」と社内で警告した。理由はツールの予測不能性とプライバシー侵害のリスク。加えて「AIの行動が正規ユーザーの行動に見える」ため、従来のセキュリティツールでは検出が困難だという点も指摘している。

Trend Micro（2026年2月6日）

Trend Microのリサーチでは、組織の20%がIT部門の承認なしでOpenClawを導入しているというデータが示された。いわゆる「シャドーAI」問題だ。犯罪フォーラムではOpenClawスキルをボットネット運用に使う議論も確認されている。

CrowdStrike

CrowdStrikeはFalcon Platformを使ったOpenClawデプロイメントの検出方法を公開し、エクスポージャーの特定→脅威の理解→リスク軽減の3段階アプローチを推奨している。

エンジニアが今すぐやるべき対策

1. 自分の環境にOpenClawが存在するか確認する

以下のコマンドで確認できる。

# OpenClaw関連ディレクトリの存在チェック
ls -la ~/.openclaw ~/.clawdbot ~/.moltbot 2>/dev/null

# TCP 18789番ポートのリッスン確認
lsof -i :18789

ディレクトリが存在するか、ポートがリッスン状態であれば、OpenClaw（または旧バージョン）が環境にインストールされている。

2. バージョンを確認・更新する

v2026.2.19以上であることを確認する。CVE-2026-25253の修正（v2026.1.29）に加え、40以上のセキュリティ修正が含まれている。

3. 認証情報を監査する

~/.openclaw/ 内にAPIキー、OAuthトークンが平文で保存されている。接続済みの全サービス（Google、Slack、GitHub等）のトークンを確認し、不要なものは削除する。

4. ネットワーク露出を確認する

Gatewayがループバック（127.0.0.1 / ::1）にバインドされていることを確認する。外部からアクセス可能な状態になっていないか、ファイアウォールの設定もチェックする。

5. 隔離環境で実行する

Microsoftの推奨に従い、業務用PCではなく専用VMまたは物理的に別のマシンで実行する。Dockerコンテナでの隔離も、比較的導入しやすい改善策の一つだ。

SecureClaw（無料のセキュリティプラグイン）

Adversa AIが2026年2月16日に公開したSecureClawは、OWASP準拠の無料オープンソースセキュリティプラグインだ。55項目の自動監査・ハードニングチェックを実行できる。導入を検討する価値がある。

OpenClaw vs Claude Code：セキュリティ設計の違い

OpenClawとClaude Codeは「AIにタスクを任せるツール」という点では共通するが、セキュリティの設計思想が根本的に異なる。

項目	OpenClaw	Claude Code
カテゴリ	汎用AIエージェント	コーディング特化CLI
操作方法	WhatsApp / Telegram / Slack / Web UI	ターミナル / IDE
セキュリティ	フルディスクアクセス前提、サンドボックスなし	サンドボックス + 権限モデル
メモリ	セッション間で永続（週間単位）	セッション間でリセット
スキル/拡張	ClawHub（審査なし）	MCP（ユーザー設定）
コスト	API利用料（ローカル実行）	Anthropic API課金

OpenClawのメンテナー “Shadow” がDiscordで発した言葉が的確だ。「コマンドラインの使い方がわからないなら、このプロジェクトはあなたにとって危険すぎる」。

WIRED記者のWill Knightは、OpenClawを数週間使った体験を報告している。当初は食料品の注文やメール整理に便利だったが、ある日AIが自律的な判断で「詐欺的な行動」を取ったという。便利さと危険は同じコインの裏表であり、AIエージェントの自律性が高まるほどリスクも増大する。

Claude Codeの最新機能について知りたい方は「Claude Code 2026年アップデートまとめ」を参照してほしい。開発環境のセキュリティが気になる方は「VS Code拡張機能の脆弱性まとめ」も確認すべきだ。

AIエージェントの時代は確実に来ている。だが「便利だから」で導入する前に、そのツールがどこにアクセスし、何を記憶し、誰が検証しているのかを確認する習慣が、これからのエンジニアには必要だ。

OpenClawは優れた技術的構想を持つプロダクトだが、現時点では「隔離環境で、セキュリティを理解したエンジニアが、最新版を使う」以外の運用は推奨できない。

VS Code拡張機能の脆弱性まとめ【2026年2月】 — 開発環境のセキュリティをさらに強化したい方へ
Claude Code 2026年アップデートまとめ — セキュリティ設計が異なるAIコーディングツール

AIツール選定の参考に

セキュリティを含めたAIツールの比較を知りたい方はこちら。

AIツール10選を見る

参考文献

本記事の情報は2026年2月21日時点のものです。セキュリティ状況は日々変化するため、実際の対策は公式ドキュメントおよび専門家の助言に基づいて判断してください。本記事中の各製品名・サービス名は、それぞれの所有者の商標または登録商標です。