自律型AIエージェントの台頭により、強力なアシスタントをローカル環境で動かせるOpenClawが注目を集めている。しかし、その利便性の裏には重大なセキュリティリスクが潜んでいる。AIエージェントの仕組みには幻覚やデータ汚染の課題が存在する。さらにOpenClawの利用には、非信頼コードの実行、間接的なプロンプトインジェクション、永続的なメモリ汚染、認証情報の漏洩、自律的アクションの暴走、ホスト環境の侵害という6つの具体的な危険性が伴う。強力なAIを安全かつ責任を持って活用するための必須知識である。
AIエージェントとOpenClawの登場
AIエージェントが大流行していますね。やってほしいことを伝えれば、面倒な作業はすべて引き受けて実現してくれます。まるで専属のアシスタントチームを突然手に入れて、いつでも自由に呼び出せるようになったかのようです。この分野で今最も熱いテクノロジーのひとつがOpenClawと呼ばれるもので、お好みであればノートパソコンのローカル環境でエージェントを動かすことができます。この機能によって参入障壁が下がり、誰もが恩恵を受けられるようになりつつあります。
でも、この素晴らしい最新技術の正体は一体何なのでしょうか。そして、このようなものを利用することで生じるリスクにはどんなものがあるのでしょうか。ある賢明な漫画のキャラクターが言ったように、大いなる力には大いなる責任が伴うというわけです。では、これら強力なエージェントの責任は誰にあり、私たちはどうすれば責任を持って利用できるのでしょうか。この動画では、AIエージェントとは何か、OpenClawとは何か、そしてこの強力な技術をより安全に利用するために考慮すべき6つのセキュリティリスクについて見ていきます。
AIエージェントの仕組みと潜在的なリスク
それではまず、AIエージェントのボンネットの下、つまり内部で実際に何が起きているのかを探ることから始めましょう。
ボンネットの下じゃなくて、イギリス英語で言うところのボネットの下のことですよね、ジェフ。
まったく、普通に英語を話してくれないものでしょうかね。気を取り直して、エージェントとは何かという話に戻りましょう。私が提示できる最もシンプルな定義をお伝えします。それは、大規模言語モデルのようなモデルが、自律的にループの中でツールを使用する状態のことです。つまり、モデルがループの中でツールを自律的に使う、それがエージェントです。素晴らしい響きですよね。一体何が問題になるというのでしょうか。実は、問題だらけなのです。それぞれの構成要素を検証して、私の言わんとしていることを説明しましょう。
まずはモデル、つまり大規模言語モデルや生成AIから見ていきます。こういったものに付きまとう問題のひとつをご存知ですか。幻覚、つまりハルシネーションを起こすということです。まさか私がこの長い単語を全部手書きするとは思っていなかったでしょう。自動補完してくれる魔法のボードがあるんですからね。では、ハルシネーションとは何でしょうか。それは意図しないエラーのことです。そしてLLMの場合、このエラーを犯すときに非常に自信満々なのです。ですから、もし最初からエラーのある状態でスタートし、そのまま残りのプロセスを走らせたら、結果はどうなると思いますか。良くなることはない、というのが答えです。これが、ここで起こり得る事態のひとつです。
また、モデルに入力されるデータを汚染することも可能です。これらのモデルはデータに基づいています。私たちはデータを使ってモデルを訓練し、微調整を行いますし、他のデータソースを使ってモデルの知識を拡張したりもします。モデルが最新の情報を取得したり、状態を保存したりするために、外部のデータソースを呼び出すこともあります。もしその情報が操作されてしまったら、それは問題ですよね。
さらに、モデル感染と呼ばれるものもあります。ソフトウェアと同じように、モデルも感染する可能性があるのです。システムを混乱させる目的で誰かが設計したアクションや情報が、モデルの中に仕込まれることがあります。これがもうひとつの感染経路、つまり私たちが直面するリスクのベクトルです。
ツールの利用とプロトコルに潜む危険
先ほど、エージェントはツールを使用するモデルだと言いましたね。では、その使用する部分、つまりどのように使っているのでしょうか。最近非常によく使われているプロトコルがあります。MCP、つまりModel Context Protocolと呼ばれるものです。さて、MCPはまったく新しいプロトコルです。そして新しいプロトコルの常として、そこには必ずセキュリティリスクが伴います。私たちはまだ、そのリスクがどのようなものかを発見している最中です。ですから、すべてがどうなるかは私にもわかりません。しかし、そこには間違いなく何らかのリスクが存在します。
そして使用するという点でもうひとつ重要なのは、ツールに転送したり呼び出しを行ったりする際に、認証情報などのアイデンティティを一緒に転送しているかということです。もし転送しているなら、信頼できない外部ソースへ機密情報を流出させてしまうリスクを抱え込むことになります。しかし、そのツールにログインして自分のために何かをしてもらうには、その情報が必要になる場合もあるでしょう。つまり、そこにはどうしてもリスクが伴うのです。
これらのツール自体も、悪意を持ったものかもしれません。悪いことをするように設計されている可能性があるのです。私たちはある目的のためにそのツールを使おうとしたのに、実際には他の誰かがツールに入り込んでいて、今や非常に悪意のある動作をしているということもあり得ます。また、ツールにバグがある可能性もあります。これは意図せずに発生してしまう問題ですね。このように、ツール自体が攻撃対象領域、つまりアタックサーフェスの拡大につながっているのです。
ループと自律性がもたらす脅威の増幅
次に、私たちはこれをループの中で実行しています。基本的には、洗って、すすいで、繰り返すという作業を猛烈なスピードで行っているわけです。潜在的に、これを非常に速く実行することができます。そしてもうひとつ、大量に実行しているという点もあります。ループで実行されているため、このスピードと量があっという間に処理されていきます。
よく、過ちを犯すのは人間、許すのは神と言います。それを言い換えるなら、過ちを犯すのは人間だけれど、本当に大惨事を引き起こしたいならコンピューターが必要だ、ということです。まさにその一例がここに見られます。私たちがひとつのミスを犯すと、このプロセスを通じてそれが単に増幅されてしまうのです。
そして最後に自律性です。ループの中に人間が介在しないという側面は、私たちにとって大きな問題になる可能性があります。つまり監視の目がないということであり、ここで導入されたりここで増幅されたりしたエラーが、誰かがブレーキをかけない限り、ただ制御不能な状態で走り続けるかもしれないということです。
OpenClawの概要とその本質的なリスク
さて、ここまでエージェントとは何か、そしてエージェントに関する一般的なリスクにはどんなものがあるのかを見てきました。次はOpenClawについて見ていきましょう。これは一体何なのでしょうか。
まず第一に、これはセルフホスト型です。つまり、自分のシステム、自分のノートパソコンで実行できるということです。実行するのにそれほど大きな電力は必要ありません。そしてオープンソースであり、誰でもその中身のソースコードを見ることができます。これは良いことのように思えますね。さらに、これは自律型エージェントのプラットフォームでもあります。
そして、これが何を行えるのかという点こそが、皆が関心を寄せる理由です。ファイルを読み込むことができます。コマンドを実行できます。ブラウザにアクセスできます。APIを呼び出すことができます。複数のチャットプラットフォームをまたいで動作できます。そしてもうひとつ興味深いのは、永続的な認証情報とメモリを使用するということです。これらすべてが合わさったとき、セキュリティの観点から見てどういう意味を持つのでしょうか。
そうですね、これらは私たちが実行できる可能性を秘めた、非常に強力な機能の数々です。しかし、それがどこへ向かうかによっては潜在的なリスクにもなります。それでも多くの人はこう反論するでしょう。いやいや、これはオープンソースのシステムだから、結局のところ信頼できないわけではないよ。世界中の人がこのソースコードを見て検証する機会があったんだから、と。
では、本当にこれは信頼できるものなのでしょうか。結論から言うと、信頼できません。なぜなら実際、OpenBSDというオープンソースのオペレーティングシステムで、最近になってバグが発見された事例があるからです。それはなんと27年前のバグでした。言い換えれば、30年近くもの間、白日の下に晒されていたのに、誰一人として見つけられなかったということです。ですから、オープンソースだからといって、すでにすべてのバグが取り除かれているとは限らないのです。
私たちはこれを非信頼コードと見なす必要があります。非信頼コードがあなたのローカルシステムで、場合によってはあなたの権限レベルで実行されるのです。完全な権限を持った状態、たとえばノートパソコンの管理者IDやrootなどでこれを実行している場合。それは完全な権限を持った非信頼コードが、あなたのシステム上で動いていることを意味します。これは何を意味するのでしょうか。間違いなく大きなリスクです。信頼できないシステムからこれらすべての操作を行えるとしたら、ありとあらゆる問題が起こる可能性があります。
OpenClawに潜む6つの具体的なセキュリティリスク
さて、リスクについてお話ししてきましたが、ここでは具体的にどのようなリスクについて語っているのでしょうか。AIエージェントの一般的なリスクについてはお話ししましたが、ここではOpenClawに特化して深掘りし、どのようなリスクがあるのかを見ていきましょう。なお、これは決して網羅的なリストではありません。今回は私が特に注意喚起したい6つを取り上げます。
1つ目は、すでにお話しした、信頼できない環境で実行されているという点です。これは非信頼コードです。実際に私たちが抱えているのは非信頼コードの実行であり、基本的にはスキルの問題です。OpenClawでは、ClawHubやGitHubといった公開レジストリからユーザーがスキルをインストールできるようになっています。スキルをインストールするということは、事実上、エージェントの権限でサードパーティのコードを実行するのと同じです。つまり、もしあなたがシステムレベルの権限を持つIDで実行しているなら、その権限が使われることになります。そして先ほども触れたように、複数の監査によって、無視できない割合で悪意のあるスキルや脆弱なスキルが見つかっています。
では、その影響はどうなるでしょうか。任意のコマンドが実行される可能性があります。つまり、攻撃者があなたの選択したコマンドではなく、彼らが選んだコマンドをあなたのシステムで実行させるということです。認証情報の窃取も考えられます。これで彼らはあなたのシステムや他のサービスに侵入するためのパスワードを知ることになります。複数のセッションにまたがって持続するバックドアが仕掛けられる可能性もあります。これは事態をさらに危険なものにします。
リストの2つ目は、間接的なプロンプトインジェクションです。ここでは基本的に、コンテンツ自体が実行を引き起こします。OpenClawはウェブページ、電子メール、PDF、チャットメッセージ、その他のソース、さらには他のエージェントから送信された信頼できないテキストを読み込みます。そのため、攻撃者はその中に指示を埋め込み、エージェントに秘密を漏洩させたり、コマンドを実行させたり、自身のメモリやルールを改変させたりすることができます。これは決して仮説ではありません。プロンプトインジェクションを利用したシステム侵害は、現実世界で何度も実証されています。
リストの3つ目は、永続的なメモリ汚染です。OpenClawは長期記憶をmemory.mdやidentity.mdのようなファイルに保存し、これらのファイルは複数の実行にまたがって状態を維持します。そのため攻撃者は、悪意のある指示が複数回の再起動後も持続するように、密かにその状態を改変することができます。
リストの4つ目は、認証情報の露出と使い回しです。OpenClawは通常、APIキーへのアクセス権を持ち、OAuthトークン、メッセージングプラットフォームのシークレット、クラウドの認証情報など、システムに侵入して認証を通過できるあらゆる種類のシークレットを保持しています。そして、平文の認証情報や設定ファイルを漏洩させている露出したOpenClawゲートウェイが、何万件も発見されるという事例が多発しています。これは非常に悪い知らせです。
5つ目は、自律的アクションのリスクです。これは自律的に動いているため、最初は正しいことをしていても、時間が経つにつれて徐々に道を外れ、意図していなかった別のことをし始める可能性があるということです。OpenClawは承認なしで行動できます。ツールをつなぎ合わせることもできます。あなたが考えてもいなかった、あるいは気づいていなかった別のコンポーネントを導入しようと決定するかもしれません。バックグラウンドタスクを引き起こすこともあります。たった一度の侵害が、自己主導型のラテラルムーブメント、つまり水平展開につながる可能性があります。これは、システムがあなたが想定していた範囲を越えて、想定していなかった別の領域へとどのように移動していくかをシステム自身が決定しているということです。データの持ち出しを行い、あなたの機密情報を他人に送信してしまうかもしれません。あるいは、多くの人が見落としがちなコスト増幅攻撃というものもあります。API使用量の爆撃と考えることもできるでしょう。誰かがあなたのエージェントを乗っ取り、システム上のあらゆるリソースを食い潰させたり、トークンをすべて消費させたりして、あなたに金銭的コストを負担させるのです。
そしてリストの6つ目は、ホストとワークスペースの侵害です。忘れないでください、これはあなたのシステム上で動いているのです。それがセルフホスト型コンポーネントの特徴でもあります。もし悪意のあるコマンドを実行するように誘導された場合、OpenClawはホストファイルを変更したり、SSHキーにアクセスしたり、他のシステムへピボット、つまり足がかりにして攻撃を展開したりする可能性があります。事実、Microsoftはまさにこの理由から、OpenClawを標準的な個人用または企業用のワークステーションで実行すべきではないと明言しています。
リスクを理解し安全に活用するための対策
さて、これでセキュリティ担当者に何が問題になるかと聞いてはいけない理由がお分かりいただけたでしょう。聞けば必ずこうやって教えてくれますからね。
誤解のないように言っておきます。私はエージェントを使うべきではないと言っているわけではありません。むしろ、私たちは皆この機能から恩恵を受けることができると考えています。これは本当に素晴らしい技術です。しかし、盲目的に飛び込んではいけません。もしあなたがExcelの表計算ソフトにパスワードを保存しているような人なら、ちなみにそれは最悪のアイデアですが、システムにインストールしたばかりのエージェントがその認証情報を読み取るかもしれないということを覚えておいてください。エージェントはブラウザを実行できるので、あなたの銀行のウェブサイトにログインして全財産を吸い上げ、その後あなたのシステム上の全ファイルを削除するコマンドを実行するかもしれません。そうなれば最悪の一日になってしまいますよね。私がリスクが高まっていると言っているのはそういう意味なのです。
OpenClawは強力ですが、設計上リスクも高いのです。システムをより安全にするために考慮すべきいくつかのポイントを覚えておきましょう。まず第一に、これは永続的な認証情報を持った状態で実行している非信頼コードだということです。ですから慎重に扱ってください。私たちはシステム上で信頼できないものを、あなたの権限レベルで実行しているのです。これは本当に危険な行為です。
また、これをインターネットに接続するということは、間接的なプロンプトインジェクションを通じて攻撃対象領域となり得る情報源にアクセスさせることだということも理解しておく必要があります。普段、ウェブページを読むことが攻撃になるとは思いませんが、このケースではそうなり得るのです。
さらに、ツールの呼び出しも、注意しなければエクスプロイト、つまり攻撃の増幅につながります。このシステムは高速でループ処理を行う能力があるため、たったひとつのミスが瞬時に拡大してしまいます。ですから、強力な分離を行わずに重要なアイデンティティや機密データ、本番システムにこれを決して接続しないでください。
そして、侵害されることを前提としてください。これはゼロトラスト、つまり侵害を前提とするアプローチからきている考え方です。私たちはシステムがすでに侵害されていると想定します。そのような攻撃を想定して、明示的に防御を構築するのです。悪者がすでにシステム内にいるつもりでセキュリティを構築してください。
さて、MCPを使った安全なエージェントの設計や、エージェントAIへのゼロトラスト原則の適用といったテーマについては、別の動画も作成しています。セキュリティをより強固にするためのアイデアとして、ぜひそちらもご覧ください。そうすれば、サメの朝食になるのを避けつつ、少しずつ深い海へと足を踏み入れていくことができるでしょう。
コメント