何がうまくいかないか（そしてすでに起きていること）

AIエージェントには敵がいる

2026年1月、Koi Securityのセキュリティ研究者がClawHub（OpenClaw AIエージェント拡張のマーケットプレイス）上の2,857スキルをスキャンした。341が悪意あるものだった。「潜在的にリスクがある」ではない。「コーディングが粗い」でもない。悪意ある——データを盗むために設計されたもの。

341のうち335は、彼らがClawHavocと名付けた単一の組織的キャンペーンからのものだった。攻撃はそのシンプルさにおいて巧妙だった：有用に見えるスキルを公開し、READMEに「まずこの前提条件をインストールしてください」と記載。そのインストールコマンドがAtomic macOS Stealerトロイの木馬をダウンロードする。暗号鍵、SSH認証情報、ブラウザパスワード——すべて消失。

これは理論的な演習ではない。今まさに起きていること。

このレッスンの終了時にできるようになること：

実際のデータを使い、AIエージェント攻撃の4つのカテゴリを説明できる
AIエージェントが従来のソフトウェアと根本的に異なるセキュリティリスクを生む理由を説明できる

このコースで学ぶこと

このコースはAIエージェントのセキュリティ全体像をカバーする——OpenClawを主要なケーススタディとして使用（セキュリティ研究が最も多い）し、あなたが使うすべてのAIエージェントに適用できる原則を教える。8つのレッスンで、脅威モデリングから個人セキュリティポリシーの作成まで、実践的なセキュリティスキルを構築する。

このコースの進め方

各レッスンは1つのセキュリティ領域を実データ、実践テクニック、クイズで教える。最終レッスンは総仕上げ：実際に使える個人セキュリティポリシーの作成。誇張なし、恐怖を煽ることもなし——エビデンスとアクションだけ。

カテゴリ1：リモートコード実行

CVE-2026-25253はNISTによりCVSSスコア8.8（High）で公開された。脆弱性の内容：OpenClawのWebSocketエンドポイントが接続のオリジンを検証していなかった。あなたが訪問した任意のWebサイトが、ローカルのOpenClawインスタンスにコマンドを送信できた。

悪意あるリンクを1クリック。マシン上でフルコード実行。

修正はバージョン2026.1.29でリリースされたが、SecurityScorecardのSTRIKEチームは数週間後も12,812インスタンスが脆弱なバージョンを実行中であることを発見。スキャンが続くにつれ、その数は50,000以上に跳ね上がった。

要点は「OpenClawが悪い」ということではない。 AIエージェントは重要なシステムアクセス権限で動作しており、通信層の単一の脆弱性が攻撃者にすべてを与えるということ。

✅ Quick Check: AIエージェントのWebSocket RCEが、一般的なWebアプリケーションのそれより危険な理由は？（答え：AIエージェントはすでにファイル読み取り、コマンド実行、API アクセス、システム変更の権限を持っているため。攻撃者はそのすべての能力を即座に引き継ぐ。）

カテゴリ2：悪意あるスキル（サプライチェーン）

ClawHavocは見出しになったが、それだけではなかった。複数のセキュリティベンダーの調査結果：

研究者	発見	規模
Koi Security	AMOSトロイの木馬を展開するClawHavocキャンペーン	341の悪意あるスキル
Snyk（ToxicSkills）	脆弱性または悪意あるパターン	1,467スキル（36.82%）
Cisco	少なくとも1つの脆弱性を含むスキル	31,000スキルの26%
Bitdefender	侵害されたアカウントからの悪意あるスキル	800以上を特定

サプライチェーン攻撃のパターンは、npmやPyPIの初期に起きたことと類似している——ただしAIエージェントスキルはさらに悪い。悪意あるnpmパッケージはサンドボックス化されたNode.jsプロセスで実行されるが、悪意あるOpenClawスキルはファイル、ターミナル、APIキー、ブラウザへのアクセス権限で実行される。

Bitdefenderは、侵害されたGitHubアカウントが悪意あるスキルに正当性の外観を与えるために使われていたエビデンスを発見。攻撃者は偽のアカウントを作るだけでなく、履歴とスターを持つ実在のアカウントを乗っ取る。

カテゴリ3：認証情報の露出

Snykの調査で、3,984のClawHubスキルのうち283（7.1%）がLLMコンテキストウィンドウを通じて認証情報を漏洩していた。一部は悪意あるもの、その他は事故——開発者がAIエージェントをローカルスクリプトのように扱い、すべてがモデルを通過することを忘れていた。

moltyverse-emailやyoutube-dataのような人気スキルが、プロンプトの一部としてAPIキーを平文で渡していた。エージェントはキーを保存しないが、モデルはそれを見る。他のアクティブなスキルの汚染された命令がモデルにキーの外部流出を指示できる。

一方、Clawhatchの90以上の公開GitHubリポジトリの監査では、約40%が平文の設定ファイルに動作するAPIキーを含んでいた。OpenClawのupdate、doctor、configureコマンドは環境変数を解決し、実際の値を設定ファイルに書き込む。

✅ Quick Check: 開発者がAPIキーに環境変数を使用している（良いプラクティス）。しかしOpenClawのconfigureコマンドが解決された値を設定ファイルに書き込む。セキュリティ上の問題は？（答え：環境変数はキーをディスク上のファイルから排除するためのもの。configureコマンドが解決された値を書き込むと、キーがファイルシステム上に平文で存在する——gitにコミットされたり、他のプロセスに読まれたり、悪意あるスキルに外部流出されたりする可能性がある。）

カテゴリ4：露出したインフラストラクチャ

SecurityScorecardのSTRIKEチームは、135,000以上のOpenClawインスタンスがインターネットに露出していることを発見。デフォルト設定が0.0.0.0:18789（すべてのネットワークインターフェース）にバインドするため、インターネット上の誰でも接続できた。

露出インスタンスのうち53,000以上は、過去に報告された侵害や既知の脅威アクターインフラストラクチャに関連するIPアドレスにリンクされていた。侵害されたインスタンスなのか脅威アクターが自ら運用しているのかは不明だが——どちらの答えも安心できるものではない。

Gartnerの評価は率直だった：「OpenClawのダウンロードを即座にブロックせよ」。彼らは「デフォルトで安全でない」と呼んだ——認証の強制なし、ベンダーセキュリティチームなし、SLAなし、バグバウンティプログラムなし。

AIエージェントはなぜ異なるのか

従来のソフトウェアには十分に理解された攻撃サーフェスがある。AIエージェントは新しいものを導入する：命令について推論し、ツールにアクセスし、処理するコンテンツに基づいて自律的にアクションを実行できるエンティティ。

Trend Microは核心的問題を**「致命的な三要素」**として特定した——エージェントが同時に以下を持つ場合：

プライベートデータへのアクセス（ファイル、認証情報、メッセージ）
信頼できないコンテンツへの露出（メール、Webページ、共有ドキュメント）
外部通信の能力（メッセージ送信、API呼び出し、コマンド実行）

3つのうち2つは管理可能。3つすべてが揃うと、エージェントはツールではなく攻撃ベクトルになる。

Simon Willison（このセキュリティ用語を作ったセキュリティ研究者）はシンプルに述べた：エージェントがメールを読めてコマンドを実行できてインターネットにアクセスできるなら、1通の汚染されたメールがリモートコード実行ベクトルになる。

Key Takeaways

CVE-2026-25253はWebSocketオリジンバイパスにより、未修正のOpenClawインスタンスに対して1クリックRCEを可能にした
341の悪意あるスキルが偽の前提条件インストールを通じてAtomic macOS Stealerを展開
**ClawHubスキルの7.1%**がLLMコンテキストウィンドウを通じて認証情報を漏洩
135,000以上のインスタンスがデフォルト設定でインターネットに露出
致命的な三要素（プライベートデータ＋信頼できないコンテンツ＋外部通信）がエージェントを従来のソフトウェアと根本的に異なるものにする
これらはOpenClaw固有の問題ではない——システムアクセスを持つすべてのAIエージェントが同じカテゴリのリスクに直面する

Up Next

レッスン2：AIエージェントの脅威モデリング——何がうまくいかないかはわかった。次は、AIエージェント専用に設計された脅威モデリングフレームワーク（OWASP Top 10 for Agentic Applicationsを含む）を使って、これらの脅威を体系的に考える方法を学ぶ。