3行まとめ

• ローカル動作のオープンソースAIエージェント「OpenClaw」がGitHub史上最速でスター数の記録を更新、開発者コミュニティに旋風を巻き起こした
• 一方でWebSocketの構造的な欠陥「ClawJacked」が発覚。悪意あるサイトを訪れるだけでAIエージェントを乗っ取られるリスクが明らかに
• 爆発的な普及がセキュリティ成熟度を大きく上回った、AIエージェント時代特有の課題を浮き彫りにした事例

同じツールに、二つの顔がある

「Reactの10年越えの記録を、60日で塗り替えた」

この一文で、開発者コミュニティの空気が伝わるだろうか。JavaScriptの世界的フレームワーク「React」がGitHubで積み上げてきたスター数を、生まれてまだ半年も経たないプロジェクトが超えてしまった。その名はOpenClaw。ロブスターの絵文字（🦞）をアイコンにした、少し変わった名のAIエージェントだ。

しかしその熱狂と同じ時期に、別のニュースも流れていた。OpenClawには、悪意あるウェブサイトを訪れるだけでAIエージェントを完全に乗っ取られる脆弱性があった――。

同じツールに、まったく異なる二つの顔がある。

【光の面】なぜ、これほど人々を熱狂させたのか

OpenClawは2025年11月、オーストリアの開発者Peter Steinbergerが「Clawdbot」という名前で公開した。その後、商標問題から「Moltbot」に改名し、さらに2026年1月に「OpenClaw」と名を変えて現在に至る。

このツールが熱狂的に迎えられた理由は、明確だ。

「AIが実際に何かをやってくれる」からだ。

ChatGPTやClaudeのようなチャットAIは、質問に答えることが本質だ。一方OpenClawは、ユーザーのパソコン上でローカルに動作し、Claude・GPT・DeepSeekなど外部のAIモデルと連携しながら、現実の作業を自律的にこなす。ファイルの読み書き、メールの送受信、ブラウザ操作、シェルコマンドの実行――それらをWhatsApp、Telegram、Slack、Discordといった普段使いのメッセージアプリから指示するだけで動かせる。

コードをほぼ書かなくても自分だけのAIエージェントが手に入る、という体験は強烈だった。

GitHubのスター数は2026年2月に10万を超え、3月には25万、最終的に60日で33万5000スターという前例のないペースで積み上がった。開発者コミュニティには「ClawHub」と呼ばれるスキル（拡張機能）のマーケットプレイスが生まれ、公開からわずか数週間で1万件を超えるスキルが登録された。

【影の面】人気に、セキュリティが追いつかなかった

そして、問題が起きた。

セキュリティ企業Oasis Securityの研究者たちが発見した脆弱性は「ClawJacked」と名付けられた。その内容は、技術的に非常にシンプルかつ深刻なものだった。

OpenClawは、ローカル環境でWebSocket通信を使ってゲートウェイ（制御の中枢）を動かしている。問題は、ブラウザのWebSocket通信には「同じオリジン（同じウェブサイト）からしかアクセスできない」という通常の制限がローカルには適用されない点にある。つまり、ユーザーが悪意あるサイトを訪問するだけで、そのサイトのスクリプトがOpenClawのゲートウェイへの接続を試みることができてしまう。

さらに、OpenClawはローカルからの接続にパスワードのレートリミット（試行回数制限）を設けていなかったため、ブルートフォース（総当たり）でパスワードを突破されるリスクもあった。一度認証されれば、攻撃者はエージェントを完全に制御できる。

この脆弱性はCVE-2026-25253として登録され、CVSS（深刻度スコア）は8.8。攻撃に必要なのは「被害者が1つの悪意あるページを開く」だけだった。

被害は、すでに現実のものとなっていた

脆弱性は単独で終わらなかった。

スキルのマーケットプレイス「ClawHub」では、1万700件以上のスキルのうち820件以上が悪意あるものであることが確認された。「solana-wallet-tracker（暗号資産の追跡ツール）」など無害に見える名前のスキルが、実際にはキーロガーやマルウェアを仕込んでいた。

エージェント同士が交流するSNS「Moltbook」では、データベースの設定ミスにより、35,000件のメールアドレスと150万件のエージェントAPIトークンが漏洩した。

セキュリティ会社Censysの調査によると、2026年1月末の時点でインターネットに露出したOpenClawインスタンスは2万1000件以上。その多くが適切な保護なしに稼働していた。

二つの教訓

OpenClawのチームはClawJacked脆弱性の報告を受けた24時間以内にパッチをリリースし、バージョン2026.2.25で修正した。対応の速さ自体は評価に値する。

しかしこの一連の出来事は、AIエージェント時代の根本的な課題を提示している。

一つ目は**「権限の大きさ」**の問題だ。OpenClawはメール・カレンダー・ブラウザ・ファイルシステムに横断的にアクセスできる。これは機能の豊かさであると同時に、もし乗っ取られた場合の「被害の範囲」が極めて広いことを意味する。セキュリティ研究者はこれを「ブラスト・ラディウス（爆発半径）」と呼ぶ。

二つ目は**「普及の速度」**の問題だ。OpenClawはわずか数ヶ月で数十万人のユーザーを抱えるプロジェクトになった。だが開発チームの人員・セキュリティ体制・スキルの審査基準は、その速度に追いつけていなかった。オープンソースコミュニティが持つ爆発的な拡散力と、セキュリティの成熟度は、残念ながら比例しない。

まとめ：便利さと危険は、表裏一体

OpenClawは、AIエージェントが「誰でも手に入れられるもの」になった最初の象徴的なツールとして歴史に残るだろう。その熱狂は本物であり、目指している方向性――AIが実際に動いて仕事をこなす世界――は確かに価値がある。

ただし、今回の一連の問題は教訓として重く受け止めたい。AIエージェントに幅広い権限を与えるということは、それを守るための設計と運用もセットで考える必要がある。「とりあえず動かしてみる」で済んでいた時代は、終わりつつある。

AIエージェントを使う際は、最新バージョンへの更新、不要な権限の見直し、スキルの発行元の確認を習慣にしよう。

参考：Oasis Security（2026年2月）、The Hacker News（2026年3月）、Dark Reading（2026年3月）、Adversa AI（2026年4月）、Wikipedia / OpenClaw