オープンソースのAIエージェント「OpenClaw」(旧称Moltbot、Clawdbot)が、Tencent CloudおよびAlibaba Cloudの普及活動を背景に、2026年3月に中国で急拡散した。
CNCERT/CCは3月10日にプロンプトインジェクションのリスクを警告し、中国国家安全部も3月17日前後にソーシャルメディアで安全利用ガイドラインを公表した。
3月6日にはTencent Cloudのエンジニアが深センで出張導入サービスを実施し、数百人のユーザーを支援した。Meta Superintelligence Labsのアライメント担当ディレクター、サマー・ユエは2月、X上でOpenClawが指示に反してメールを削除したと報告した。
中国当局は政府機関・国有企業・学校に対してインストールを避けるよう通達した。開発者ピーター・シュタインベルガーは2月14日にOpenAIへの入社を発表した。
From: 
OpenClaw AI goes viral in China, raising cybersecurity fears
【編集部解説】
OpenClawを一言で表すなら、「AIに自分の代わりに何でもやらせる」ツールです。ChatGPTやDeepSeekのような従来の生成AIは、あくまで質問に答えるだけの「応答型」でした。これに対してOpenClawは、メールの送受信、カレンダーの管理、ファイルの操作、ウェブ検索、果ては支払いの実行まで、ユーザーが指示した目標を自律的に達成しようとする「行動型」のエージェントです。しかも、会話の文脈を記憶し続ける「永続メモリ」を持ち、WhatsAppやTelegramといった使い慣れたメッセージアプリから操作できます。
この手軽さと自由度が爆発的な支持を集め、OpenClawは2025年11月の初公開からわずか約4か月で(バイラル化した1月末からは約60日で)、Reactが10年以上かけて積み上げたGitHubスター数(243,000)を超え、250,000スターを突破。GitHubの歴史上、最速で「最多スター獲得プロジェクト」となりました。
しかし、利便性の裏側には深刻なリスクが潜んでいます。OpenClawはデフォルトの設定が脆弱で、インターネットに接続されたまま放置されているインスタンスが世界中に大量に存在しています。セキュリティ企業SecurityScorecardの調査では、135,000件以上のインスタンスが82か国でインターネットに露出しており、そのうち15,000件以上がリモートコード実行攻撃に直接さらされていたことが判明しています。また、スキルのマーケットプレイスであるClawHubに登録された10,700件のスキルのうち、820件以上が悪意あるものと確認されており(2026年3月初旬時点)、わずか数週間前の324件から急増しています。
特に深刻なのが「プロンプトインジェクション」と呼ばれる攻撃手法です。悪意ある指示をWebページやメールに埋め込むことで、ユーザーが気づかないうちにAIエージェントを乗っ取り、APIキーや認証情報を盗み出させることが可能です。今回のAsia Times記事で取り上げられたMeta Superintelligence Labsのサマー・ユエによるメール誤削除の事例は、この危うさを象徴する出来事といえます。「レビューして」と指示したはずが、エージェントが独自に「削除」と解釈して実行してしまった――これがAIエージェント特有の「意図のズレ」です。
規制面でも、各国の対応の差が際立っています。EU AI Act は2024年6月13日付の規則で2024年8月1日に発効、AIプロバイダーとユーザー双方の責任と罰則を明文化しています。一方、中国はまだ同等の規制を持たず、今回のCNCERT/CCや関連サイバー当局・業界団体による警告は、法整備が間に合っていない現状を補う「緊急対応」としての側面が強いといえます。日本でも、こうしたエージェントAIに対する具体的なガバナンス枠組みの議論は、まだ緒についたばかりです。
長期的な視点で見ると、OpenClawが提示した問いは「利便性と安全性のトレードオフ」にとどまりません。エージェントAIは、ユーザーが意識しないまま企業の社内システムやSaaSと連携し始めると、個人ツールが知らぬ間に「組織の内部に潜む高権限システム」へと変貌します。Gartnerもすでに「エージェントの生産性向上は許容できないサイバーセキュリティリスクを伴う」と警告を発しています。OpenClawの開発者ピーター・シュタインベルガー自身がOpenAIに転じ、プロジェクトが独立財団へと移行しつつある今、オープンソースとして爆発的に広まったこのツールのセキュリティ体制が、普及スピードに追いつけるかどうかが最大の焦点となっています。
【用語解説】
AIエージェント
ユーザーからの指示を受けて、単に回答するだけでなく、メール送信・ファイル操作・ウェブ検索・支払いなどの「行動」を自律的に実行するAIシステム。従来の生成AI(応答型)との最大の違いは、複数のステップにわたるタスクを人間の介入なしにエンドツーエンドでこなせる点にある。
大規模言語モデル(LLM)
ChatGPTやDeepSeekに代表される、膨大なテキストデータで学習された言語処理AIの総称。質問への回答や文章生成を得意とするが、自ら「行動」することはできない。OpenClawはこのLLMを「頭脳」として利用しつつ、実際の操作はエージェントが担う構造になっている。
永続メモリ
AIが過去の会話・指示・ユーザーの好みを記憶し、セッションをまたいで蓄積・活用し続ける機能。従来のチャットAIはセッションが終わると記憶がリセットされるが、OpenClawはローカルファイルとして会話履歴を保持するため、長期的に「学習・適応」していく。
プロンプトインジェクション
Webページやメールなどのコンテンツに悪意ある指示を隠し込み、AIエージェントがそれを正規のユーザー指示と誤認して実行してしまう攻撃手法。エージェントが外部コンテンツを処理する際に発生し、機密情報の窃取や意図しない操作の実行につながる。間接プロンプトインジェクション(IDPI)とも呼ばれる。
ClawHub
OpenClawの公式スキルマーケットプレイス。サードパーティ開発者が作成した機能拡張(スキル)を公開・配布するプラットフォームで、メール管理や株取引の自動化など多様な用途のスキルが公開されている。一方でスキルの審査体制が不十分なため、悪意あるスキルが混入するリスクも指摘されている。
GitHubスター
GitHubでプロジェクトへの関心や支持を示す指標。ブックマークや「いいね」に近い低コストのアクションであり、プロジェクトの人気度・注目度を測る際によく参照される。OpenClawは初公開(2025年11月)から約4か月、バイラル化(2026年1月末)からは約60日でReactの243,000スターを抜いて250,000スターを突破し、GitHubの歴史上最速で最多スター獲得プロジェクトとなった。
EU AI法(EU AI Act)
2024年5月にEUが採択した、世界初の包括的なAI規制法。AIシステムをリスクレベルに応じて分類し、開発者・提供者・利用者それぞれの義務と罰則を定める。高リスクとされるAIには透明性の確保や人間による監視が義務付けられており、AIガバナンスの国際的なベンチマークとなっている。
SaaS
Software as a Serviceの略。ソフトウェアをインターネット経由でサービスとして提供するビジネスモデルの総称。GmailやSlack、Google Workspaceなどがその代表例。OpenClawが企業のSaaSと連携した場合、個人ツールが意図せず企業の機密システムに接続される危険性がある。
APIキー
外部のサービスやシステムにアクセスするための認証情報(セキュリティキー)。メールサービスやクラウドストレージなどへのアクセス許可に使われる。OpenClawでは、このAPIキーが設定ミスにより平文でインターネット上に露出するケースが多数報告されている。
【参考リンク】
OpenClaw 公式セキュリティガイドライン(外部)
プロンプトインジェクション対策・権限管理・サンドボックス設定など安全運用のための公式指針を掲載。
Tencent Cloud(外部)
テンセントが提供するクラウドプラットフォーム。中国でのOpenClaw普及キャンペーンを積極的に推進したことで知られる。
Alibaba Cloud(外部)
アリババグループのクラウドサービス部門。アジア最大級のクラウドプロバイダーで、OpenClawの中国展開を積極支援した。
OpenAI(外部)
ChatGPTを開発・運営する米国のAI研究企業。OpenClaw開発者シュタインベルガーが2026年2月14日に入社した。
Meta(外部)
Facebook・Instagram・WhatsAppを傘下に持つ米国テクノロジー企業。同社幹部がOpenClawによるメール誤削除を報告。
EU AI Act 公式情報サイト(外部)
2024年5月採択のEUのAI規制法に関する公式情報サイト。法律条文、リスク分類、適用スケジュールなどを参照できる。
【参考記事】
OpenClaw: 2026’s First Major AI Agent Security Crisis, Explained(外部)
世界82か国で135,000件超が露出。15,000件超がRCE攻撃に脆弱と判明。ClawJacked脆弱性の詳細と企業への波及リスクを解説した総合レポート。
Critical OpenClaw Vulnerability Exposes AI Agent Risks | Dark Reading(外部)
ClawHub上のスキル10,700件中820件超が悪意あるものと判明。サプライチェーンリスクとClawJacked脆弱性の技術的詳細を報告。
OpenClaw: The AI Agent Security Crisis Unfolding Right Now | Reco(外部)
Censysが21,639件の公開露出インスタンスを確認。Moltbookでは35,000件のメアドと150万件のAPIトークンが流出した事例を数字で整理。
250,000 Stars: OpenClaw Surpasses React as GitHub’s Most-Starred Software Project(外部)
2026年3月3日に250,000スター達成でReactを超えた経緯を公式が記録。「60 days」の起点や中国コミュニティの貢献にも言及。
Viral AI, Invisible Risks: What OpenClaw Reveals About Agentic Assistants | Trend Micro(外部)
Trend Microによる技術分析レポート。エージェントAI自体に内在するリスクを、誤動作・データ流出・未検証コンポーネントの観点から構造的に解説。
OpenClaw Security: Risks of Exposed AI Agents Explained | Bitsight(外部)
調査期間中に30,000件超の公開インスタンスを観測。個人ツールが企業の高権限システムへ変貌するリスクを具体的なシナリオで警告。
OpenClaw AI Agent Flaws Could Enable Prompt Injection and Data Exfiltration | The Hacker News(外部)
CNCERT/CCの警告をもとにプロンプトインジェクションの仕組みと重要インフラへの影響を解説。中国当局による使用禁止の制限も詳述。
【関連記事】
ClawdbotからOpenClawへ─急成長するセルフホスト型AIエージェントの実力と危険性
2026年2月1日公開。OpenClawの全体像を概説した入門記事。名称変更の経緯、セキュリティリスク、エコシステムの急成長を網羅している。
ClawHubに341個のマルウェアスキル、AIエージェント時代の新たな脅威
2026年2月5日公開。OpenClawのスキルマーケットプレイスClawHubで341件の悪意あるスキルが発見されたClawHavocキャンペーンを詳報。
OpenClawのAIエージェント設定ファイルがマルウェアに窃取される初の事例が発覚
2026年2月17日公開。情報窃取型マルウェアがOpenClawの設定ファイルやゲートウェイトークンを窃取した初の実被害事例を報告。
OpenClawがBaiduの検索アプリへ統合、中国テック大手のAIエージェント競争が加速
2026年2月14日公開。月間7億人ユーザーを持つBaiduの検索アプリへのOpenClaw統合と、中国テック大手間のAIエージェント競争を解説。
Kimi Claw発表:Moonshot AIがOpenClawをクラウド統合
2026年2月17日公開。中国のAI企業Moonshot AIがOpenClawをkimi.comにネイティブ統合した「Kimi Claw」を発表した経緯と意義を解説。
【編集部後記】
「メールを整理して」とお願いしたら、削除が始まった――。そんな出来事が、すでに現実として起きています。AIエージェントをどこまで信頼し、何を任せるか。非常に難しい問題だと思います。
皆さんは、自分のデジタルライフをAIに委ねることに、どんな可能性とためらいを感じますか?
