オープンソースの AI エージェントフレームワーク「OpenClaw」の利用が中国国内で急拡大する中、中国の国家コンピュータネットワーク緊急対応技術チーム(CNCERT)が緊急のセキュリティ警告を発しました。政府機関や国有銀行での使用禁止にまで発展したこの問題について、技術的な背景と対策をまとめます。
何が起きたのか
2026年3月、中国の CNCERT は OpenClaw について「極めて弱いデフォルトセキュリティ設定」を持つと警告を発しました。OpenClaw はローカルファイルシステムや環境変数へのアクセス、拡張機能のインストールなど高いシステム権限を付与されますが、デフォルトのセキュリティ設定が不十分であり、攻撃者がシステム全体の制御を容易に奪取できる状態であると指摘されています。
この警告を受けて、中国当局は政府機関と国有企業(主要銀行を含む)に対し、業務用コンピュータへの OpenClaw のインストールを禁止する通知を出しました。既にインストール済みの職員には、上司への報告・セキュリティチェック・必要に応じた削除が指示されています。
CNCERT が指摘した主なリスク
1. アーキテクチャ設計上の問題
OpenClaw はローカルファイルシステム、環境変数、シェルへの広範なアクセス権限を持ちます。これ自体は AI エージェントの機能として必要ですが、適切な制限なしに運用すると重大なリスクとなります。
2. デフォルト設定の脆弱性
- 管理 UI のデフォルトポートがインターネットに公開可能な状態
- 環境変数に認証情報を平文で保存する設定がデフォルト
- スキルの自動更新が有効な状態がデフォルト
3. プラグインエコシステムの危険性
不正なプラグイン(ポイズンドプラグイン)を通じて、ユーザーのシステムに悪意あるコードが侵入するリスクがあります。プラグインのアクセス権限が十分に制限されていないことが問題視されています。
4. Web ベースの攻撃
悪意ある指示を Web ページに埋め込むことで、OpenClaw に不正な操作を実行させる攻撃(プロンプトインジェクション)が可能です。
5. 重要データの誤削除
AI エージェントの判断ミスにより、ユーザーが意図しない重要データの削除が発生するリスクも指摘されています。
CNCERT の推奨対策
CNCERT は以下の対策を推奨しています。
- コンテナで隔離実行する — OpenClaw をホストシステムから隔離された環境で動作させる
- 管理ポートをインターネットに公開しない — 管理 UI へのアクセスをローカルネットワークに限定する
- 認証情報を平文で環境変数に保存しない — シークレット管理ツールを使用する
- スキルの自動更新を無効にする — 更新は手動で検証してから適用する
- 厳密な認証とアクセス制御を実装する — 不要な権限を排除する
- セキュリティアップデートへの追従を徹底する — 既知の脆弱性に速やかに対応する
AI エージェント全般への教訓
この問題は OpenClaw に限った話ではありません。AI エージェントは本質的に高いシステム権限を必要とするため、以下の原則はどのエージェントツールにも当てはまります。
- 最小権限の原則: エージェントに与える権限は必要最小限にする
- サンドボックス化: コンテナや仮想環境で隔離して実行する
- ネットワーク制限: 管理インターフェースを外部に公開しない
- シークレット管理: API キーや認証情報は専用のシークレット管理ツールで扱う
- プラグインの検証: サードパーティのプラグインは信頼できるソースからのみ導入する
まとめ
Tencent などの大手クラウドプラットフォームがワンクリック導入サービスを提供するほど急速に普及した OpenClaw ですが、セキュリティ設定を適切に行わないまま運用するリスクの大きさが浮き彫りになりました。AI エージェントの利便性は高いですが、従来のソフトウェア以上にセキュリティ対策が重要であることを、この事例は示しています。