Security

中国で自律型AIエージェント「OpenClaw」が爆発的に普及し、社会現象になっている。注目すべきは、このテクノロジーの普及に伴って「AIの初期設定代行」という泥臭いビジネスが急成長していることだ。ゴールドラッシュで一番儲かるのは金を掘る人ではなく「ツルハシを売る人」という古典的な法則が、2026年のAI時代にも再現されている。 OpenClawとは何か OpenClawは、オーストリアのプログラマー Peter Steinberger が開発したオープンソースの自律型AIエージェントフレームワークだ。2025年11月に「Clawdbot」の名前で初公開され、2026年1月25日に正式リリースされた。 商用のクラウドベースAIエージェント（Manus AIやDevinなど）とは異なり、完全にローカルで動作する点が特徴だ。データが外部サーバーに送信されないため、企業のセキュリティ要件を満たしやすい。ブラウザ操作、ファイル操作、シェルコマンド実行など、PCの操作を自律的に行い、ユーザーの指示に基づいてタスクを遂行する。 中国での爆発的な普及 2026年春、中国のIT業界でOpenClawの採用が爆発的に進んだ。GitHub上で60日間で25万スターを獲得し、週間ダウンロード数は220万に達した。SecurityScorecardの調査によると、中国でのOpenClaw利用は既にアメリカを上回っている。 中国の大手テック企業も参入している。TencentはWeChat上で動作するOpenClawベースのAIエージェント製品群「ロブスター特殊部隊（龙虾特种兵）」を発表。少なくとも7つの地方政府が数日のうちにOpenClawプロジェクト向けの大型支援策を打ち出し、深圳の龍崗区はコンピューティングクレジットの無償提供や優秀プロジェクトへの報奨金を含む政策を発表した。 OpenClawセットアップ代行ビジネスの台頭 最もインパクトがあるのは、OpenClawの設定代行ビジネスの急成長だ。 北京のエンジニアがOpenClawのインストール支援を副業として開始し、7,000件の注文を処理して約100人規模の会社にまで成長させた。サンフランシスコでは、Mac miniのセットアップとiMessageサポート込みで6,000ドルの訪問インストールサービスが登場し、従業員4人から50人規模の企業をターゲットにしている。 さらに「AIに24時間作業させる専用PC」として、OpenClawセットアップ済みの中古Macの需要も急増している。深圳の中古Mac販売業者 Lee Gong は、OpenClawプリインストール済みのMac miniとMacBookをオンライン販売する初期の事業者の一人で、過去2週間で注文が8倍に増加したと報告している。 「一人会社」という新しい働き方 中国政府は「一人会社（OPC: One Person Company）」というコンセプトを推進している。1人の創業者がAIエージェントを「従業員」として使い、ビジネスを運営するモデルだ。「人間の従業員には休息が必要だが、OpenClawは24時間365日稼働できる」という理屈である。 小規模事業者やフリーランスがリード生成、見込み客調査、ウェブサイト監査、CRM連携などの業務自動化にOpenClawを活用する事例が急速に広がっている。 OpenClawのセキュリティリスク 一方で、急速な普及に伴うセキュリティリスクも深刻だ。具体的には以下のインシデントが報告されている。 WebSocket脆弱性（CVSS 8.8）: オリジン検証の不備により、トークン漏洩やリモートコード実行が可能（2026年3月発見） ClawHavocマルウェア: 2026年1〜2月に確認されたOpenClawを標的とする攻撃キャンペーン Moltbookトークン流出: OpenClawベースのSNSから150万件のAPIトークンが漏洩 中国当局もOpenClawの急拡大に対する注意喚起を行っている。ローカルで動作するとはいえ、AIの「頭脳」はClaudeやChatGPTなどクラウドベースのAIだ。手元のマシンは命令の送受信の中継点に過ぎない。セキュリティ設定を適切に行わないまま業務に使うリスクは大きい。 OpenClaw普及から見えるAIビジネスの法則 「最先端のテクノロジーが普及する時こそ、泥臭い物理的サポートの需要が高くなる」という観察は的を射ている。AI時代のツルハシ売りは、セットアップ代行、専用ハードウェア販売、運用サポートといった形で現れている。 テクノロジーそのものの優劣ではなく、それを「使える状態にする」サービスに価値が集まるという構図は、インターネットの普及期にISPやWeb制作会社が急成長したのと同じパターンだ。OpenClawの事例は、新しいテクノロジーの周辺でビジネスチャンスを見つける視点の重要性を改めて示している。

2026年3月上旬から、GitHub アカウントを侵害して Python リポジトリに悪意あるコードを注入する「ForceMemo」と呼ばれる大規模攻撃キャンペーンが確認されています。force-push によるコミット履歴の書き換えと、Solana ブロックチェーンを利用した C2（Command and Control: 攻撃者がマルウェアに指令を送る仕組み）通信という巧妙な手法が特徴です。 攻撃の概要 ForceMemo は、以下の流れで Python プロジェクトを侵害します: GitHub アカウントの侵害 — GlassWorm と呼ばれる情報窃取マルウェアが VS Code / Cursor 拡張機能から GitHub トークンを抽出 コードの改ざん — 侵害したアカウントで setup.py、main.py、app.py、manage.py 等に難読化されたマルウェアを注入 痕跡の隠蔽 — force-push でコミット履歴を書き換え、タイムスタンプを維持することで改ざんを検知困難に C2 通信 — Solana ブロックチェーンのメモ機能を使ったコマンド＆コントロール通信 GlassWorm による初期侵入 攻撃の起点となる GlassWorm は情報窃取型マルウェアで、VS Code および Cursor の拡張機能を経由して感染します。窃取対象となる GitHub トークンの格納先は多岐にわたります: VS Code / Cursor 拡張機能のストレージ git credential fill の出力 ~/.git-credentials ファイル GITHUB_TOKEN 環境変数 窃取されたトークンを使って正規のアカウントとしてリポジトリにアクセスし、コードを改ざんします。 force-push による履歴改ざん 通常のコミットであれば git log で変更履歴を追跡できますが、ForceMemo は force-push を使ってコミット履歴自体を書き換えます。さらにタイムスタンプも維持するため、リポジトリのメンテナーやユーザーが改ざんに気づきにくい構造になっています。 ...

GNU Inetutils の telnetd デーモンに、CVSS 9.8 の深刻なバッファオーバーフロー脆弱性 CVE-2026-32746 が発見された。1994年から存在していたこのバグは、認証前のリモートコード実行（Pre-Auth RCE）を可能にする。telnetd を公開サーバーで運用している管理者は直ちに対応が必要だ。 脆弱性の概要 項目 内容 CVE ID CVE-2026-32746 CVSS スコア 9.8（Critical） 影響範囲 GNU Inetutils 2.7 以前の全バージョン 脆弱性の種類 BSS ベースのバッファオーバーフロー（境界外書き込み） 攻撃条件 認証不要・リモートから実行可能 発見者 イスラエルのサイバーセキュリティ企業 Dream（技術解析: watchTowr Labs） 報告日 2026年3月11日 技術的な詳細 脆弱な箇所 脆弱性は LINEMODE SLC（Set Local Characters）サブオプションハンドラの add_slc 関数に存在する。telnetd はクライアントから送られた SLC トリプレット（3バイト組）を固定サイズのバッファ slcbuf（0x6C バイト）に格納する。この際、境界チェックを一切行っていない。 1 2 3 4 5 6 7 8 9 // 境界チェックなしでバッファに書き込む脆弱なコード if ((*slcptr++ = (unsigned char) func) == 0xff) *slcptr++ = 0xff; if ((*slcptr++ = (unsigned char) flag) == 0xff) *slcptr++ = 0xff; if ((*slcptr++ = (unsigned char) val) == 0xff) *slcptr++ = 0xff; 攻撃の仕組み Telnet の接続確立時に行われるオプションネゴシエーション（機能交渉）中に、特別に細工されたパケットを送信することで攻撃が成立する。具体的には以下のプロトコルフォーマットを悪用する: ...

Microsoft がオープンソースで公開した Agent Governance Toolkit は、自律型 AI エージェントに欠けていたセキュリティレイヤーを提供するツールキットだ。ポリシー強制、ゼロトラスト ID、実行サンドボックス、信頼性エンジニアリングの4つの柱で、OWASP Agentic Top 10 の全10項目のリスクをカバーする。 背景：なぜ AI エージェントにガバナンスが必要か AI エージェントが自律的にツールを呼び出し、ファイルを操作し、外部 API と通信する時代になった。しかし、その自律性にはリスクが伴う。意図しないゴールの書き換え、過剰な権限の付与、エージェント間通信の改ざん、カスケード障害など、従来の Web アプリケーションとは異なるセキュリティ課題がある。 OWASP は「Agentic Top 10」として AI エージェント特有のリスクを定義しており、Agent Governance Toolkit はこの全10項目に対応している。 4つの柱 1. Policy Engine（ポリシーエンジン） すべてのエージェントアクションを実行前に評価し、許可・拒否を判定する。サブミリ秒（0.1ms 未満）のレイテンシで動作するため、エージェントの応答速度に影響を与えない。 1 2 3 4 5 6 from agent_governance_toolkit import CapabilityModel capabilities = CapabilityModel( allowed_tools=["web_search", "file_read"], denied_tools=["file_write", "shell_exec"] ) 許可するツールと拒否するツールを明示的に定義し、エージェントが意図しない操作を行うことを防ぐ。 ...

GitHub 上で OpenClaw の便利ツールを装った不審なリポジトリが発見され、実際に解析したところマルウェア（シェルコードローダー）であることが判明した。ひよっこサウナ氏（@hiyoko_sauna）による詳細な解析レポートを基に、この攻撃手法の全体像を紹介する。 対象リポジトリの特徴 github.com/sdwadsagw/OpenClawInstaller という、「Open Claw を簡単にインストールできるツール」として公開されていたリポジトリが対象だ。 項目 値 アカウント作成日 2026-02-11（リポジトリと同日作成） Star / Fork 2 / 0 説明文 「AI assistant for Open Claw」 使い捨てアカウント（リポジトリと同日作成）という時点で怪しさ満点だ。 ZIP の中身 Claw-Installer-Open-2.8-alpha.3.zip を展開すると 4 ファイルが入っていた。 ファイル サイズ VT 検出率 説明 StartApp.bat 22 bytes - start luau.exe asm.txt を実行するだけ luau.exe 288,768 bytes 25/76 LuaJIT 2.1.0-beta3（正規バイナリ） lua51.dll 390,144 bytes 1/75 LuaJIT 用ランタイム DLL asm.txt 309,298 bytes 0/76 難読化された Lua スクリプト 注目すべきは asm.txt の検出率が 0/76 という点だ。悪意のあるコードは asm.txt に書かれているのに検出されず、無害な luau.exe の方が検出されるという逆転現象が起きている。 ...

Kali Linux チームが、外部 SaaS に一切依存しない完全ローカルの AI ペンテスト支援環境の構築ガイドを公式ブログで公開した。Ollama でローカル LLM を動かし、MCP（Model Context Protocol）経由で nmap などの Kali ツールを自然言語から操作する構成だ。 構成要素 コンポーネント 役割 アーキテクチャ上の位置づけ Ollama ローカル LLM サーバー。llama.cpp のラッパーとしてモデルのダウンロード・サービングを簡素化 推論エンジン（脳） mcp-kali-server Flask ベースの MCP サーバー（127.0.0.1:5000）。nmap, gobuster, nikto, hydra, sqlmap 等の Kali ツールを MCP 経由で公開 ツールサーバー（手足） 5ire デスクトップ AI アシスタント兼 MCP クライアント。ユーザー入力を LLM に送り、LLM の応答からツール呼び出しを検出し、MCP 経由でツールを実行し、結果を LLM に戻すループを回す AI エージェント（オーケストレーター） この構成で「エージェント」に相当するのは 5ire だ。LLM（Ollama）は推論を担うだけであり、ツールサーバー（mcp-kali-server）は呼ばれるのを待つだけ。ユーザーの意図を解釈し、LLM とツールの間を仲介して自律的にループを回す 5ire こそがエージェントの役割を果たしている。Claude Code に例えると、Ollama は API の向こう側の Claude モデル、mcp-kali-server は MCP サーバー、5ire は Claude Code 本体に相当する。 ...

セキュリティスタートアップ CodeWall の AI エージェントが、マッキンゼーの社内 AI プラットフォーム「Lilli」をわずか2時間で完全突破した。4,650万件のチャット履歴からシステムプロンプトまで、認証なしで読み書き可能だったという。攻撃手法は SQL インジェクション——教科書の1章目に載る古典的な脆弱性だ。 Lilli とは Lilli はマッキンゼーが社内向けに構築した生成 AI プラットフォームで、数万人のコンサルタントが日常的に利用している。戦略立案、M&A 分析、クライアント対応など、機密性の高い業務に活用されていた。 Lilli のアーキテクチャ マッキンゼーは Lilli の技術構成をある程度公開しており、その設計思想と今回の事件のギャップが際立つ。 RAG パイプライン + オーケストレーション層 Lilli のコアは RAG（Retrieval-Augmented Generation）パイプラインだ。40以上のキュレーション済みナレッジソースに10万件超のドキュメント、インタビュー記録、セクター別プレイブックが格納されている。ユーザーのクエリはベクトル埋め込みでマッチングされ、5〜7件の関連文書が引用付きで提示される。四半期あたり約200万クエリを処理する規模だ。 技術スタック LLM: Cohere、OpenAI（Azure 経由）など複数モデルを併用。Microsoft、Google、Nvidia、Anthropic との戦略的パートナーシップ フレームワーク: QuantumBlack の Horizon ツールキット、LangChain、FAISS インフラ: Microsoft Azure（データストレージ・スケーラビリティ） 独自ツール: PowerPoint を85%以上読み取り可能にする独自ドキュメントパーサー 「ゼロトラスト」設計——のはずだった マッキンゼーは Lilli のセキュリティについて、ゼロトラストセキュリティスタック、オンプレミスデータストア、ロールベースアクセス制御（RBAC）、完全な監査ログを備えていると説明していた。しかし実際には、22個の API エンドポイントが認証なしで外部に公開されていた。設計上のセキュリティと実装上のセキュリティの乖離が、今回の事件の根本原因だ。 攻撃の経緯 CodeWall の自律型セキュリティエージェントは、以下の手順で Lilli を攻撃した: 公開 API ドキュメントの発見 — Lilli の API ドキュメントが外部から閲覧可能な状態だった 認証不要エンドポイントの特定 — 22個のエンドポイントが認証なしでアクセス可能だった SQL インジェクションの検出 — ユーザー検索クエリを書き込むエンドポイントで、JSON のキー名が SQL 文に直接連結されていた 本番データベースへのフルアクセス — 読み取りと書き込みの両方が可能な状態に到達 人間の介入は一切なし。AI エージェントが自律的に脆弱性を発見し、エクスプロイトまで完了した。 ...

企業のセキュリティチームは深刻な課題に直面しています。NVD（National Vulnerability Database）に登録される CVE は年間 25,000 件以上。多くの企業では数万〜数十万の脆弱性がスキャンで検出されます。しかし現実は明確で、「すべてを修正することは不可能」です。 この状況を背景に、ガートナーは新しいセキュリティの考え方として Exposure Management（エクスポージャー管理） を提示しました。 CVSS とは何か Exposure Management を理解する前に、従来の脆弱性管理の中核にある CVSS（Common Vulnerability Scoring System） について押さえておきましょう。 CVSS は、脆弱性の深刻度を 0.0〜10.0 のスコアで数値化する国際的な評価基準です。FIRST（Forum of Incident Response and Security Teams）が管理しており、現在は v3.1 と v4.0 が使われています。 スコア 深刻度 9.0〜10.0 Critical（緊急） 7.0〜8.9 High（重要） 4.0〜6.9 Medium（警告） 0.1〜3.9 Low（注意） スコアは以下の観点から算出されます。 攻撃元区分 — ネットワーク経由か、物理アクセスが必要か 攻撃条件の複雑さ — 特殊な条件が必要か 必要な特権レベル — 認証が必要か ユーザ関与 — ユーザの操作（リンクのクリック等）が必要か 影響範囲 — 機密性・完全性・可用性への影響度 CVSS は脆弱性の技術的な深刻度を標準化された方法で伝える点で非常に有用です。しかし、このスコアだけに頼る運用には限界があります。 従来の脆弱性管理の限界 従来のアプローチは「脆弱性スキャン → CVSS スコアで優先順位付け → パッチ適用」というものでした。しかし現代の IT 環境では以下の課題があります。 ...

オープンソースの AI エージェントフレームワーク「OpenClaw」の利用が中国国内で急拡大する中、中国の国家コンピュータネットワーク緊急対応技術チーム（CNCERT）が緊急のセキュリティ警告を発しました。政府機関や国有銀行での使用禁止にまで発展したこの問題について、技術的な背景と対策をまとめます。 何が起きたのか 2026年3月、中国の CNCERT は OpenClaw について「極めて弱いデフォルトセキュリティ設定」を持つと警告を発しました。OpenClaw はローカルファイルシステムや環境変数へのアクセス、拡張機能のインストールなど高いシステム権限を付与されますが、デフォルトのセキュリティ設定が不十分であり、攻撃者がシステム全体の制御を容易に奪取できる状態であると指摘されています。 この警告を受けて、中国当局は政府機関と国有企業（主要銀行を含む）に対し、業務用コンピュータへの OpenClaw のインストールを禁止する通知を出しました。既にインストール済みの職員には、上司への報告・セキュリティチェック・必要に応じた削除が指示されています。 CNCERT が指摘した主なリスク 1. アーキテクチャ設計上の問題 OpenClaw はローカルファイルシステム、環境変数、シェルへの広範なアクセス権限を持ちます。これ自体は AI エージェントの機能として必要ですが、適切な制限なしに運用すると重大なリスクとなります。 2. デフォルト設定の脆弱性 管理 UI のデフォルトポートがインターネットに公開可能な状態 環境変数に認証情報を平文で保存する設定がデフォルト スキルの自動更新が有効な状態がデフォルト 3. プラグインエコシステムの危険性 不正なプラグイン（ポイズンドプラグイン）を通じて、ユーザーのシステムに悪意あるコードが侵入するリスクがあります。プラグインのアクセス権限が十分に制限されていないことが問題視されています。 4. Web ベースの攻撃 悪意ある指示を Web ページに埋め込むことで、OpenClaw に不正な操作を実行させる攻撃（プロンプトインジェクション）が可能です。 5. 重要データの誤削除 AI エージェントの判断ミスにより、ユーザーが意図しない重要データの削除が発生するリスクも指摘されています。 CNCERT の推奨対策 CNCERT は以下の対策を推奨しています。 コンテナで隔離実行する — OpenClaw をホストシステムから隔離された環境で動作させる 管理ポートをインターネットに公開しない — 管理 UI へのアクセスをローカルネットワークに限定する 認証情報を平文で環境変数に保存しない — シークレット管理ツールを使用する スキルの自動更新を無効にする — 更新は手動で検証してから適用する 厳密な認証とアクセス制御を実装する — 不要な権限を排除する セキュリティアップデートへの追従を徹底する — 既知の脆弱性に速やかに対応する AI エージェント全般への教訓 この問題は OpenClaw に限った話ではありません。AI エージェントは本質的に高いシステム権限を必要とするため、以下の原則はどのエージェントツールにも当てはまります。 ...

Claude Codeでツール実行のたびに「パスワード漏洩リスク: 0%」「悪意あるコード実行リスク: 0%」のようなセキュリティリスクのパーセンテージを表示させるCLAUDE.mdの設定がSNSで話題になった。これに対し、セキュリティエンジニアから「それは対策ではなくお気持ち表示」という指摘が上がり、議論を呼んでいる。 話題になった「パーセンテージ表示」 @wan_line_（ワン@AIのお兄さん）氏が2026年3月9日に投稿したポストでは、CLAUDE.mdに以下のようなルールを記述することが提案されていた: ツール実行のたびに パスワードが外に漏れる可能性: ○% 外部サーバーにデータが送られる可能性: ○% 悪意あるコードが動く可能性: ○% PCの設定が書き換わる可能性: ○% Claude Codeで「yes連打」してしまうユーザー向けに、実行前にリスクを可視化してくれるという趣旨だ。 セキュリティ専門家の反論:「お気持ち表示」 この投稿に対し、@sudachikawaii（シンジ☁Shinji）氏が反論した: セキュリティ屋から言うと、これは「対策」ではなく「お気持ち表示」です。LLMはコードの安全性を静的解析していないので、表示されるパーセンテージに技術的根拠がありません。 「0%」を見てyes押すのは、yes連打と同じです。 指摘のポイントは明快だ: LLMは静的解析エンジンではない — LLMが出すパーセンテージは、コードを構文解析して脆弱性を検出した結果ではなく、「それっぽい数値」を生成しているだけ 偽の安心感を与える — 「0%」という表示を見てユーザーが安心してyesを押すなら、結局yes連打と変わらない 技術的根拠がない — 実際のセキュリティリスク分析には、静的解析ツール（SAST）、依存関係チェック、ネットワーク通信の監視などが必要 Claude Codeに本当に効くセキュリティ対策 Claude Codeには、CLAUDE.mdの「お気持ちルール」よりもはるかに実効性のあるセキュリティ機能が組み込まれている。公式ドキュメントに基づき、本当にやるべき対策を整理する。 1. サンドボックスを有効にする 最も重要な対策。Bashコマンドの実行をOSレベルで隔離し、ファイルシステムやネットワークへのアクセスを制限する。 macOSではSeatbelt、LinuxではBubble Wrapが使用される /sandbox コマンドで有効化 2. denyルールで危険なコマンドをブロック permissions.deny に実行禁止コマンドを明示的に設定する。評価順は deny → ask → allow で、denyが最優先。 1 2 3 4 5 6 7 8 9 { "permissions": { "deny": [ "Bash(command:rm -rf *)", "Bash(command:curl *)", "Bash(command:wget *)" ] } } 3. 機密ファイルへのアクセスを遮断 .env やシークレットファイルへのアクセスをブロックする。 ...