AIbaseによると、マイクロソフトは最近、人工知能アシスタントであるOpenClawに関する重要なセキュリティ警告を発表しました。このツールは通常の個人または企業用ワークステーションで実行すべきではなく、完全に隔離された環境でのみ展開すべきであると明確に述べています。

OpenClawは、タスクを自主的に実行できるAIエージェントとして設計されています。自動化された操作を実現するために、ユーザーはコンピューターシステムやソフトウェアへの完全なアクセス権を提供する必要があります。これには電子メール、ファイル、オンラインサービス、ログイン資格情報が含まれます。このような「高権限+永続状態(メモリ)」の運用モードにより、機能が強力である反面、重大なセキュリティリスクも生じます。

マイクロソフト Defender セキュリティ研究チームは、公式ブログでOpenClawを「永続的な資格情報を備えた信頼できないコード実行プログラム」として扱うべきだと指摘しています。もし利用されると、攻撃者は資格情報や機密データを盗むだけでなく、エージェントの永続的な記憶を改変し、以降の実行中に悪意のある命令を引き続き実行させることが可能になります。

AI助教 机器人

マイクロソフトは、OpenClawが現在直面している2つの主要な脅威を明らかにしました:

第一、間接的なプロンプトインジェクション(Indirect Prompt Injection)。

攻撃者は、エージェントが読み取るコンテンツの中に悪意のある指示を隠すことで、そのツールの呼び出しを制御したり、メモリを改変したりして、長期的にその行動に影響を与えることができます。厳格なセキュリティ境界が設定されていない場合、エージェントは気づかないうちに攻撃者の意図を実行してしまう可能性があります。

第二、スキルベースのマルウェア(Skill-based Malware)。

OpenClawはインターネットからコードをダウンロードして実行することで機能拡張が可能です。この仕組みは攻撃の入口となる可能性があります。攻撃者は悪意のあるコードを含む「スキル」モジュールを配布し、リモートコントロールやバックドアの埋め込みを実現します。マイクロソフトは、成功した攻撃が必ずしも従来のマルウェアに依存するわけではないことを強調しています。微細な設定変更でも実現可能であると指摘しています。

セキュリティリスクは理論的なものではありません。最近、SecurityScorecard傘下のSTRIKE脅威情報チームは、世界82か国で42,000を超える独立IPアドレスがOpenClawのコントロールパネルを公開しており、そのうち約50,000のインスタンスがリモートコード実行(RCE)の脆弱性を抱えていることを発見しました。これにより、攻撃者はホストシステムを直接制御でき、ユーザーのアカウントが乗っ取られるリスクがあります。

上記のリスクを考慮して、マイクロソフトは組織が専用の仮想マシンまたは独立した物理システムでテストおよび評価を行うことを推奨しています。実行環境では専用で、特権のない資格情報を使用し、非機密データのみにアクセスする必要があります。継続的な監視と定期的な再構築のメカニズムを設けることも重要です。これにより、本番システムに直接展開することを避けることができます。

自律型のAIツールが実際のアプリケーションに段々と導入される中、そのセキュリティ境界とガバナンス体制は業界にとって不可欠な問題となっています。OpenClawの事例は企業に対して再度思い出させています。AIの自動化能力を活用する一方で、厳格な隔離、権限管理、監視フレームワークを同時に構築しなければなりません。そうでなければ、強力な実行能力が攻撃の入口となる可能性があるのです。