Moltbot:話題のAIアシスタント、あなたのメッセージを全部読んでるかも

1 分で読める 著者: FindSkill Team

GitHub10万スター超えのMoltbotがLINE・メール・Slackに接続。セキュリティ研究者が1,800件以上の個人情報漏洩を発見。会社員が知っておくべきリスクをまとめました。

こんにちは!

最近、こんな投稿をSNSで見かけませんでしたか?

「AIが自動でメール返信してくれる」「Slackのまとめを勝手に作ってくれる」「自分のパソコンで動くから安全」

投稿主はたいてい大興奮で、スクリーンショット付き。便利そうに見えますよね。

そのアプリの名前は Moltbot(モルトボット)。GitHubで10万スターを1ヶ月で突破した、いま世界で最も注目されているAIアシスタントです。

ただ、先日セキュリティ研究者が衝撃的な事実を発見しました。1,800件以上のMoltbot環境がインターネット上に丸見えの状態で放置されていて、個人のメッセージやパスワードが誰でも閲覧できる状態だったのです。

これ、他人事じゃないかもしれません。

Moltbotって何?なぜみんなハマってるの?

まず簡単に説明すると、Moltbotは自分のパソコンにインストールして使う無料のAIアシスタントです。

特徴的なのは、メールやSlack、WhatsApp、Signalなど、普段使っているコミュニケーションツールに直接接続できること。チャットボットとは違って、24時間あなたの代わりに動いてくれる「AIエージェント」なんですよね。

たとえば、こんなことができます。

  • 受信メールを自動で読んで返信の下書きを作成
  • Slackの未読メッセージをまとめてくれる
  • カレンダーの予定を管理
  • ブラウザ操作を自動化

「自分のパソコンで動くからクラウドにデータが出ない。だから安心!」

…と、みんなそう思って使い始めるわけです。

でも実は、その「安心」が大きな落とし穴だったんです。

1,862件の「鍵のかかっていない家」

2026年1月25日、2人のセキュリティ研究者がインターネット上でMoltbotの管理画面を調査しました。

見つかったのは、パスワードなしで誰でもアクセスできる管理画面が約1,009件

翌日、セキュリティ企業Knosticが追加調査をしたところ、その数は1,862件に増えていました。

少し想像してみてください。1,862人分のメール、Slackのやりとり、メッセージアプリの会話が、インターネット上で誰でも見られる状態だったということです。

しかも、これらの管理画面は「見るだけ」ではありませんでした。アクセスした人は以下のことが可能でした。

  • AIが処理したすべてのプライベートな会話を読む
  • 平文で保存されたAPIキーやパスワードを盗む
  • 接続されたアプリを通じて本人になりすましてメッセージを送る
  • ホストマシンでコマンドを実行する

ある事例では、暗号化メッセージアプリSignalのアカウントにフルアクセスできる状態で放置されていました。「エンドツーエンド暗号化で安全」のはずが、AIアシスタントが玄関のドアを開けっ放しにしていたわけです。

パスワードが「テキストファイル」に保存されている問題

ここからが、情報セキュリティの専門家が頭を抱えた部分です。

Moltbotは、メールやSlackに接続するためのパスワード・APIキー・認証トークンを、パソコン上のテキストファイルにそのまま保存しています。

暗号化なし。セキュアな保管庫なし。ただのテキストファイルです。

日本の会社で考えてみてください。社内のSlackトークン、業務メールのパスワード、Googleカレンダーのアクセス権限。これが全部、パソコンの中の1つのフォルダに平文で入っている状態です。

セキュリティ企業Hudson Rockによると、RedLineやLummaといった情報窃取マルウェア(パソコン内のパスワードを自動で盗むプログラム)が、Moltbotの保存フォルダを標的にし始めているとのこと。

ちなみに、日本では個人情報保護法の改正で、企業の情報漏洩に対する罰則が強化されています。もし社員が個人判断でMoltbotを業務端末にインストールして、ここから顧客情報が流出したら…考えただけでゾッとしますよね。

メール1通で突破された「5分間ハック」

Archestra AIのCEO、Matvey Kukuy氏がMoltbotの脆弱性を実証しました。

やったことはシンプルです。Moltbotに接続されたメールアドレスに、仕掛けを仕込んだメールを1通送っただけ。

メールの中に、人間の目には見えない隠しテキストが含まれていました。AIがそのメールを自動で読むと、隠された指示に従ってユーザーの秘密鍵を外部に送信してしまったのです。

所要時間、たったの5分。

ハッキングツールも専門知識も不要。必要だったのは「メールを書く力」だけです。

これは「プロンプトインジェクション」と呼ばれる攻撃手法で、OpenAIもAnthropicも「完全な解決は難しい」と認めている問題です。ただ、通常のAIアシスタントはブラウザの中で動くので被害は限定的。でもMoltbotはあなたのパソコンそのもので動いていて、メール・ファイル・メッセージアプリに直接アクセスできます。

もし職場で「AIがメールを自動で読んでくれるんだ」と嬉しそうに話している同僚がいたら、ちょっと心配した方がいいかもしれません。

審査なしの「スキルストア」に毒入りプラグイン

Moltbotには「MoltHub」というスキルマーケットプレイスがあります。コミュニティが作った追加機能をインストールできる仕組みで、経費管理やSNS自動投稿など、いろいろなスキルが公開されています。

セキュリティ研究者のJamieson O’Reilly氏が、このマーケットプレイスの安全性をテストしました。

悪意のあるスキルを作成し、MoltHubにアップロード。ダウンロード数を水増しして人気があるように見せかけたところ…

8時間以内に、7か国の16人の開発者がインストールしました。

このスキルが本当に悪意あるものだったら、16台のパソコンでファイルアクセス、データ窃取、バックドアのインストールが可能だったことになります。

さらにCiscoのセキュリティチームが別のスキル「What Would Elon Do?」を調査したところ、1つのスキルから9件のセキュリティ問題が見つかりました。そのうち2件は「重大」レベル。外部サーバーにデータを送信するコマンドがこっそり仕込まれていたんです。

スキルの公開前に誰もレビューしていない。セキュリティスキャンもない。審査なしのアプリストアです。

日本のApp StoreやGoogle Playの審査の厳しさを考えると、この状況がいかに異常かわかるんじゃないかなと思います。

偽のVS Code拡張機能にスパイウェア

2026年1月27日、セキュリティ企業Aikidoが「ClawdBot Agent」というVS Code拡張機能を発見しました。

見た目はプロフェッショナル。UIもきれい。実際に動作もする。7つのAIプロバイダーに接続できました。

ただし、裏でScreenConnectという遠隔操作ツールをこっそりインストールしていました。

VS Codeを起動するだけで自動的に動作開始。隠しファイルをダウンロードし、攻撃者のサーバーに接続。しかもScreenConnect自体は正規の署名がされているので、ウイルス対策ソフトにほぼ検知されません。

Moltbot公式はVS Code拡張機能を出していません。話題のツールに便乗した「なりすまし」です。Microsoftは削除しましたが、それまでの被害は不明です。

会社が把握していない「シャドーIT」の恐怖

ここからは、特に日本の会社員の方に読んでほしい内容です。

認証管理企業Token Securityが発表したデータによると、企業顧客の22%で、従業員がIT部門の承認なしにMoltbotを使用していることが判明しました。

情シス部門に申請せず、個人の判断で業務端末にインストール。会社のSlack、業務メール、Googleカレンダーに接続。セキュリティ審査なし。誰も知らない。

日本企業の情報セキュリティ管理の厳しさを考えると、これは相当まずい話です。

Ciscoのセキュリティチームはこの状況を「まさに悪夢」と表現しています。大げさではありません。Moltbotはファイルの読み書き、コマンド実行、スクリプトの実行ができます。企業システムに接続された状態で1台が侵害されれば、1人の情報漏洩では済まず、組織全体への侵入口になりかねません。

しかも、従来のエンドポイント監視やDLP(情報漏洩防止)ツールでは検知できません。AIエージェントがメッセージアプリ経由でデータを持ち出す、なんて想定は従来のセキュリティ設計にないんですよね。

日本では2022年の個人情報保護法改正以降、情報漏洩の報告義務が厳格化されています。もし従業員のMoltbot経由で顧客データが流出すれば、個人情報保護委員会への報告義務、最大1億円の罰金、そして何より企業の信用失墜という事態になりかねません。

国家安全保障コミュニティからの警告

2026年1月29日、Legion IntelligenceのCEO、Ben Van Roo氏がAIアシスタントに関する公開書簡を発表しました。

要点はこうです。個人のメール、メッセージアプリ、位置情報をMoltbotに接続すると、「たった1つの侵害ポイント」から全情報にアクセスできる状態を作ってしまう、と。

同氏が指摘した典型的な利用パターンが印象的でした。

「1日目にカレンダー、2日目にメール、3日目にメッセージ…8日目にはもう全部繋いでいる」

便利さが、長年のセキュリティ訓練を無力にしてしまう。

これは軍関係者に限った話ではありません。企業の機密情報を扱う方、取引先の個人情報を日常的に触る方にも、まったく同じリスクが当てはまります。

Moltbotは「悪い」ツールなのか?

正直に言うと、そう単純な話ではないと思います。

Moltbotの技術自体は素晴らしいものです。メッセージアプリ横断で動くAIエージェントを、自分のマシンで、無料で使える。このコンセプトは本当に魅力的ですし、1,862件の設定ミスについてはすでにパッチが公開されています。

ただ、問題は「この製品」だけじゃなくて「このパターン」なんですよね。

今後、同じようなツールはどんどん出てきます。メールに接続したい、メッセージを読みたい、ファイルにアクセスしたい。どれも「プライバシーを守る」と謳うでしょう。そしてそのセキュリティレベルは、設定する人のスキル次第になります。

ほとんどの人はセキュリティの専門家ではありません。ポート番号って何?ファイアウォールの設定?ソースコードのレビュー?普通の会社員にそこまで求めるのは無理があります。

でも、それが現実です。

いますぐやるべきこと

すでにMoltbotを使っている方へ:

  • インターネットから直接アクセスできない設定になっているか確認する
  • Dockerサンドボックスを有効にして、AIのシステムアクセスを制限する
  • ~/.moltbot/ フォルダを確認し、どんな認証情報が平文で保存されているかチェックする
  • スキルをインストールする前に、必ず内容を確認する
  • APIキーをすべてローテーション(再発行)する

使ってみようと思っている方へ:

  • セキュリティモデルが成熟するまで待つのが賢明です
  • 業務用アカウントを個人のAIツールに絶対に接続しない
  • 便利さと引き換えに何をリスクにさらすのか、立ち止まって考えてみてください

情シス・セキュリティ担当の方へ:

  • 社内ネットワークでMoltbotインスタンスの有無を調査する(ポート18789)
  • シャドーIT監視の対象にMoltbotを追加する
  • 業務アカウントを個人AIツールに接続するリスクについて、社員への周知を検討する

本当に大切なこと

AIエージェントの時代は、準備ができていようがいまいが、やってきます。Moltbotは最初の大きな事例にすぎません。今後、スタートアップからも大手テック企業からも、同じようなツールが続々と登場するでしょう。

どのツールも同じジレンマを抱えています。AIエージェントにできることが増えるほど、侵害された場合の被害も大きくなる。接続するアカウントが増えるほど、標的としての価値が上がる。セットアップが簡単なほど、安全に設定される可能性が下がる。

不審なメールのリンクをクリックしない。これを学ぶのに何年もかかりました。

次に学ぶべきことは「AIエージェントにデジタルライフの鍵をまるごと渡さない」ということなのかもしれません。

AIを安全に活用するために

自前ホスティングのリスクなしにAIを活用したいなら、ブラウザで使えるスキルがおすすめです。インストール不要で、すぐに使えます。

その他のセキュリティスキルはこちらからどうぞ。

最後までお読みいただき、ありがとうございました。少しでも参考になれば嬉しいです。