約14万件のOpenClawインスタンスがインターネットに露出

約14万件のOpenClawインスタンスがインターネットに露出

The Register – Mon 9 Feb 2026

次々とセキュリティ上の問題が指摘されているオープンソースのAIエージェント「OpenClaw」に関する新たな懸念が発覚。SecurityScorecardの脅威インテリジェンスチームSTRIKEが、インターネットに露出しているOpenClawインスタンスの膨大さについて警鐘を鳴らした。

元々「Clawdbot」として生まれ、「Moltbot」への改名を経てOpenClawへと落ち着いた同AIプラットフォームは、人間の指示がなくとも自律的に動くことのできる「パーソナルなAIアシスタント」として話題になる一方、数々のセキュリティ上の問題点が指摘されている。例えば、「スキル」と呼ばれるOpenClaw向け拡張機能のストアClawHubには、悪意あるスキルが多数アップされていることが明らかになっているほか、ここ数週間でOpenClawの深刻な脆弱性が3件報告された（CVE-2026-25253、CVE-2026-25157、CVE-2026-24763）。また、スキルの一部は容易にクラックが可能で、強制的にAPIキーやクレジットカード番号、PII（個人を識別できる情報）などのデータを吐き出させることができる状態であることも伝えられている。

STRIKEは2月9日に公開したブログ記事の中で、インターネットに公開されているOpenClawインスタンスはその時点で世界82か国にわたって4万件以上存在すると報告。コントロールパネルが公にアクセス可能となっていたこれらのインスタンスのうち、35.4%にあたる15,200件ほどがリモートコード実行に脆弱であるとみられると伝えた。また53,300件に関しては、過去に行われた侵害行為との関連が見つかっており、ユーザーにとってのリスクを増大させているという。

しかし、STRIKEの記事が公開されてから本記事執筆時点までに、ネット露出状態のインスタンス数は139,000件超にまで増加した。なおSTRIKEはこれらの情報のダッシュボードを公開しており、毎15分ごとに最新の情報が更新されている。

STRIKEによれば、OpenClawのデフォルトのネットワーク接続設定では、同AIツールは「0.0.0.0:18789」にバインドされるようになっているという。これはつまり、パブリックインターネットを含むすべてのネットワークインターフェースで接続を待ち受ける状態。STRIKEは、「このようなパワフルなツールであれば、デフォルトでは127.0.0.1（localhost のみ）であるべき」だと指摘している。

STRIKEはすべてのOpenClawユーザーに対し、少なくともバインド設定をlocalhostに直ちに変更することを推奨。一方で同社で脅威インテリジェンス・リサーチ部門のVPを務めるeremy Turner氏は、OpenClawの欠陥の大多数がユーザーの不注意や過失によるものではないとも指摘している。Turner氏はThe Register紙に宛てたEメールの中で、OpenClawの多くの問題は設計上のものであり、同ツールが本質的に「システム変更を行い、追加のサービスをWeb上に公開する」ことを目的として作られているためだと説明したという。

加えて、露出したOpenClawインスタンスの多数が家庭用回線ではなく組織のIPアドレスで確認されていることから、単に興味本位でAIを触っている個人の問題にとどまらないことも判明している。これについてTurner氏は、特に組織の文脈においてはOpenClawを信頼すべきではないと指摘。OpenClawを利用することは「コーディングの知識に長けており、過去に他者の身元を詐称した前科がある人物を雇う」のと同じようなものだと例えた上で、そのような人物は「誰からの指示にでも従う恐れがある」と述べた。

Turner氏は個人や組織にOpenClawのようなAIエージェントの利用を完全にやめるよう奨励しているわけではないものの、「どのように導入すべきかを注意深く検討し、データやアクセス権を厳しく制限した上で、仮想マシンや分離されたシステム上でテスト」することが必要だと説明。導入時には十分にリスクを認識・検討すべきであるとの考えを示した。

インドの警察本部長、AIエージェントにもIDカードが必要と主張

The Register – Mon 9 Feb 2026

インドの都市ハイデラバードの警察本部長が、各AIエージェントにIDカードを、もしくは少なくともそれに相当するデジタルなIDを発行すべきだとの考えを示した。

ハイデラバード警察のV.C. Sajjanar本部長は2月6日、エージェント型AIについての長文をXに投稿。銀行や病院、電力といった重要部門で自律型ロボットエージェントが導入されつつある中、「これらのデジタルエージェントは人間の介入なしで独自にタスクをこなすが、同時に我々がエージェントに対する制御を失う恐れがあるとの広範な懸念が存在する」と主張した。

Sajjanar本部長は特に、AIエージェントは数分間のうちに何千件もの判断を下すことが可能であり、たった1つの小さなミスをどこかで犯しただけでも重大な影響に繋がりかねないと指摘。例として、「もしAIエージェントが株式市場で誤った判断をすれば、わずか数秒で数億ルピー規模の損失が発生する可能性がある」と説明した。同本部長はまた、サイバー犯罪者がエージェントの挙動を乗っ取って不正をさせるリスクや、エージェントが割り当てられたタスクを誤認識し、間違ったやり方で目標を達成しようとするリスクなどにも触れている。

こうした懸念から、Sajjanar本部長はすべてのAIエージェントに「デジタル・アイデンティティ」を与えねばならないと主張。人間が自身の組織でIDカードを使用しているように、AIエージェントにもIDを与え、「どのエージェントがどのファイルを開いたのか」「なぜそのエージェントは変更を行ったのか」「エージェントが情報を送った相手は誰だったのか」などをすべて記録しておけば、「たとえ誤って事故が起こったとしても、すぐにどのエージェントが原因を作ったのかを特定して問題を修正できる」と述べた。

Sajjanar本部長は加えて、こうしたエージェントにどの程度自由を与えるべきで、どのデータへのアクセスを許可するのかなどを定めた厳格なルール（ガバナンス）の必要性についても指摘している。

【無料配布中レポート】

各種レポートを無料配布中！バナー画像よりダウンロード可能です。

【最新版】インテリジェンス要件定義に関するガイドブック

地政学レポート

OSINT関連レポート

ディープ＆ダークウェブレポート