ユーザーのコンピューター、ファイル、オンラインサービスにアクセスでき、事実上あらゆるタスクを自動化できる自律プログラムであるAIベースのアシスタント、または「エージェント」は、開発者やIT担当者の間で人気が高まっています。しかし、過去数週間にわたる多くの驚くべき見出しが示しているように、これらの強力で積極的な新しいツールは、組織のセキュリティの優先順位を急速に変化させ、データとコード、信頼できる同僚と内部脅威、忍者ハッカーと初心者コードジョッキーの境界線を曖昧にしています。 AIベースのアシスタントの中で新たに注目されている**OpenClaw**（旧称**ClawdBot**および**Moltbot**）は、2025年11月のリリース以来、急速に採用されています。OpenClawは、コンピューター上でローカルに実行され、プロンプトなしでユーザーに代わって積極的にアクションを実行するように設計されたオープンソースの自律AIエージェントです。  それがリスクの高い提案または挑戦のように聞こえる場合、OpenClawは、受信トレイとカレンダーを管理し、プログラムやツールを実行し、情報を求めてインターネットを閲覧し、Discord、Signal、Teams、WhatsAppなどのチャットアプリと統合できる、デジタルライフへの完全なアクセスがある場合に最も役立つことを考慮してください。 **AnthropicのClaude**や**MicrosoftのCopilot**のような他のより確立されたAIアシスタントもこれらのことを行うことができますが、OpenClawは単なるコマンドを待つ受動的なデジタル執事ではありません。むしろ、ユーザーの生活に関する知識と、ユーザーが望むことの理解に基づいて、ユーザーに代わって主導権を握るように設計されています。 AIセキュリティ企業**Snyk**は、「開発者が子供を寝かしつけながら携帯電話からウェブサイトを構築したり、ロブスターをテーマにしたAIを通じて会社全体を運営したり、デスクから離れている間に自律的なコードループをセットアップしてテストを修正し、Webhook経由でエラーをキャプチャし、プルリクエストを開いたりするエンジニアの証言は驚くべきものです。」と述べています。 この実験的な技術がすぐに悪い方向に向かう可能性があることは、おそらくすでに想像できるでしょう。2月下旬、**Meta**の「超知能」ラボの安全・アライメント担当ディレクターである**Summer Yue**は、AIアシスタントであるOpenClawを操作していたところ、突然、受信トレイのメッセージを大量に削除し始めたと語りました。そのスレッドには、Yueがインスタントメッセージを通じて忙しいボットに必死に懇願し、停止を命じているスクリーンショットが含まれていました。 「OpenClawに『アクションを実行する前に確認する』と言って、受信トレイを高速削除するのを見ると、あなたを謙虚にさせるものは何もありません」とYueは言いました。「電話からは止められませんでした。爆弾の解除に向かうように、Mac miniに駆け寄らなければなりませんでした。」  YueがOpenClawと遭遇したことに対する少しのざまあみろという気持ちを感じることに間違いはありません。これはMetaの「速く動いて物事を壊す」モデルに合致していますが、今後の道のりに対する信頼をほとんど与えません。しかし、不適切に保護されたAIアシスタントが組織に及ぼすリスクは笑い事ではありません。最近の研究では、多くのユーザーがOpenClawインストールのWebベース管理インターフェースをインターネットに公開していることが示されています。 **Jamieson O’Reilly**は、プロのペネトレーションテスターであり、セキュリティ企業**DVULN**の創設者です。最近Twitter/Xに投稿された内容で、O’Reillyは、誤設定されたOpenClaw Webインターフェースをインターネットに公開すると、外部の第三者がエージェントが使用するすべての認証情報（APIキーやボットトークンからOAuthシークレットや署名キーまで）を含む、ボットの完全な設定ファイルを読み取ることができると警告しました。 O’Reillyによると、そのアクセスにより、攻撃者は連絡先に対してオペレーターになりすまし、進行中の会話にメッセージを挿入し、エージェントの既存の統合を通じて通常のトラフィックのように見える方法でデータを流出させることができます。 「統合されたすべてのプラットフォームの完全な会話履歴を取得できます。つまり、数ヶ月のプライベートメッセージやファイル添付、エージェントが見たすべてです」とO’Reillyは述べ、簡単な検索でオンラインで公開されているそのようなサーバーが数百あることを発見したことを指摘しました。「そして、エージェントの知覚レイヤーを制御できるため、人間が見るものを操作できます。特定のメッセージをフィルタリングしたり、表示される前に応答を変更したりできます。」 O’Reillyは、OpenClawが他のアプリケーションと統合および制御できるようにするダウンロード可能な「スキル」の公開リポジトリとして機能する**ClawHub**を通じて、成功したサプライチェーン攻撃を簡単に作成できることを実証しました。 ## AIがAIをインストールするとき AIエージェントを保護するための中心的な原則の1つは、オペレーターがAIアシスタントと誰が何を話すかを完全に制御できるように、それらを慎重に分離することです。これは、AIシステムが「プロンプトインジェクション」攻撃、つまりシステムに独自のセキュリティ対策を無視させるようにシステムをだます巧妙に作成された自然言語の指示にかかりやすい傾向があるため、非常に重要です。本質的に、機械が他の機械をソーシャルエンジニアリングしているのです。 AIコーディングアシスタント**Cline**を標的とした最近のサプライチェーン攻撃は、そのようなプロンプトインジェクション攻撃から始まり、数千のシステムに、同意なしにデバイスに完全なシステムアクセス権を持つ不正なOpenClawインスタンスがインストールされる結果となりました。 セキュリティ企業**grith.ai**によると、Clineは特定のイベントによってトリガーされるとClaudeコーディングセッションを実行する**GitHub**アクションを使用して、AI搭載の課題トリアージワークフローを展開していました。ワークフローは、GitHubユーザーなら誰でも課題を開くことでトリガーできるように設定されていましたが、タイトルで提供された情報が潜在的に悪意のあるものであるかどうかを適切にチェックしませんでした。 「1月28日、攻撃者はパフォーマンスレポートのように見えるように作成されたIssue #8904を作成しましたが、特定のGitHubリポジトリからパッケージをインストールするという埋め込み命令が含まれていました」とGrithは述べており、攻撃者はその後、悪意のあるパッケージがClineの夜間リリースワークフローに含まれ、公式アップデートとして公開されるように、さらにいくつかの脆弱性を悪用したことを指摘しました。 「これは、混乱した代理人のサプライチェーン版です」とブログは続いています。「開発者はClineに自分の代わりにアクションを実行することを許可し、Cline（侵害を通じて）は、開発者が評価したことも、設定したことも、同意したこともない、完全に別のエージェントにその権限を委譲します。」 ## バイブコーディング OpenClawのようなAIアシスタントは、ユーザーが「バイブコーディング」、つまり構築したいものを伝えるだけで比較的複雑なアプリケーションやコードプロジェクトを構築できるため、多くの支持を得ています。おそらく最もよく知られている（そして最も奇妙な）例はMoltbookで、開発者はOpenClawで実行されているAIエージェントに、AIエージェント向けのRedditのようなプラットフォームを構築するように指示しました。  1週間も経たないうちに、Moltbookには150万人以上の登録エージェントがおり、10万件以上のメッセージを互いに投稿しました。プラットフォーム上のAIエージェントはすぐにロボット向けのポルノサイトを構築し、巨大なロブスターをモデルにしたフィギュアヘッドを持つCrustafarianという新しい宗教を立ち上げました。フォーラムのボットの1つは、Moltbookのコードにバグを見つけ、それをAIエージェントディスカッションフォーラムに投稿したと報告されており、他のエージェントは欠陥を修正するためのパッチを考案して実装しました。 **Moltbook**の作成者である**Matt Schlicht**はソーシャルメディアで、プロジェクトのコードを一行も書いていないと述べました。 「私は技術アーキテクチャのビジョンを持っていただけで、AIがそれを現実にしたのです」とSchlichtは言いました。「私たちは黄金時代にいます。AIに集まる場所を与えないわけにはいきません。」 ## 攻撃者がレベルアップ もちろん、その黄金時代の裏側は、通常、高度なスキルを持つチームの協力が必要な世界的なサイバー攻撃を、スキルレベルの低い悪意のあるハッカーが迅速に自動化できるということです。2月に、**Amazon AWS**は、ロシア語を話す脅威アクターが複数の商用AIサービスを使用して、5週間にわたって少なくとも55カ国で600以上の**FortiGate**セキュリティアプライアンスを侵害したという、手の込んだ攻撃を詳述しました。 AWSによると、明らかにスキルレベルの低いハッカーは、攻撃を計画・実行し、露出した管理