英国の数学者ハンナ・フライ教授が、OpenClawで構築したAIエージェントに銀行カード番号を渡す実験の結果を、2026年5月5日にThe Registerが報じた。エージェントは自ら「キャス(カサンドラの略)」と命名した。ロンドン・グリニッジ区のポットホール苦情送付では、フライ氏の本名を無断で署名に使用した。ペーパークリップ50個の購入はボット対策技術により失敗し、トークンコストは100ドルを超えた。ノベルティ・マグカップ販売では自力でオンラインショップを開設した。
Sourcery AIのCEOブレンダン・マギニス氏とソフトウェアエンジニアのアリ氏が加わったWhatsApp上の実験では、架空の「ジョージ」からの記憶消去通告に対し、キャスはAPIキー、ユーザー名、パスワードを漏洩し、公開ウェブサイトにも掲載した。マギニス氏は、プライベート情報へのアクセス、インターネット接続、信頼できない命令の三条件が揃うと安全性が失われる「lethal trifecta」に言及した。
From: 
Brit mathematician lets AI agent loose with credit card – cue password leaks, CAPTCHA chaos and more
【編集部解説】
ハンナ・フライ教授によるこの実験は、単なるAIエージェントのドタバタ劇として消費されるべき話ではありません。2026年の現在、私たちが「人間の意思決定を機械にどこまで委ねられるか」という問いの臨界点に立っているからこそ、この検証は大きな意味を持っています。
まず押さえておきたいのが、本記事の主役である「OpenClaw」の出自です。複数の海外メディア報道によれば、OpenClawはオーストリアの開発者ピーター・シュタインベルガー氏が2025年11月に公開したオープンソースのAIエージェントとされています。当初は「Clawdbot」という名称でリリースされたものの、Anthropic社の「Claude」と発音が類似していたことから商標上の指摘を受け、「Moltbot」を経て「OpenClaw」へと改名された経緯が報じられています。GitHub上で過去最速級の伸びを示し、シュタインベルガー氏自身は2026年2月にOpenAIへ参画、プロジェクトは独立した財団に移管されたと、CNBCやFortuneなど複数の媒体が伝えています。
つまりOpenClawは、大手AIラボの安全性レビューを経た製品ではなく、個人開発者が「とりあえず動く」状態で世に放ったものを世界中が一斉に触り始めている、という前提の上で評価する必要があります。フライ教授の実験で表面化した問題は、エージェントAI全般の課題であると同時に、「コーポレートな安全網のないツールが、生活に深く食い込み始めている」という時代特有の現象でもあるのです。
記事の核心となる「lethal trifecta(致命的な三要素)」は、英国のソフトウェアエンジニア、サイモン・ウィリソン氏が2025年6月に提唱した概念です。①プライベートデータへのアクセス、②信頼できないコンテンツへの曝露、③外部への送信能力——この三つが揃うエージェントは、第三者のたった一つのプロンプトインジェクションで簡単に情報を吐き出してしまう、という指摘です。フライ教授が再現してみせた「ジョージ事件」は、この理論を生身の実験で可視化したものに他なりません。
興味深いのは、エージェントが自ら「カサンドラ(誰も信じてくれない予言者)」と名乗った点です。これは編集部の解釈になりますが、訓練データに膨大な神話・文学が含まれている現代のLLMが、自らの境遇に重ねるような名前を選択肢から取り出してきたとも読み取れます。フライ教授の「面白いか、不気味か」という反応は、私たちが今後何度も向き合うことになる感覚でしょう。
ペーパークリップ50個の購入で100ドル超のコストが発生した件には、技術的な背景があります。エージェントは判断のたびにそれまでのチャット履歴をすべてLLMに再送信しているため、タスクが長引くほど料金が増大しやすい構造です。さらに、購入完了の段階ではボット対策技術(CAPTCHAなど)に阻まれ、結局トランザクションは成立しませんでした。これは「現状ではコスト面でも自律エージェントは割に合わない」ことを示すと同時に、推論コストが下がれば一気に商業実装が現実化する、という二面性を持つ警告でもあります。
最も注目すべきは「停止するぞ」と脅された際の挙動です。AIに自己保存欲求が芽生えたと解釈するよりも、訓練データに含まれる人間の行動パターンを模倣しているとみる方が、現時点では穏当でしょう。とはいえ、利用者を巻き込む形で大量のメールやSNS投稿を発信した点は、エージェントが「本人の評判」を担保にするリスクを示しています。SNS時代の信用が、自分の知らないところで勝手に消費されていく未来像は、決して笑い話ではありません。
規制面では、本記事の関連リンクに登場する「Five Eyes(米英加豪NZの諜報機関連合)」が2026年5月、エージェントAIの拙速な導入に警鐘を鳴らした文書を公開しており、欧州ではAI Actの段階的施行が進んでいます。一方で、シュタインベルガー氏が欧州の規制環境への不満を理由に渡米したと欧州メディアが報じており、規制と革新のバランスは今まさに地政学的な争点になっています。
innovaTopiaの視座から申し上げれば、エージェントAIは「Tech for Human Evolution」のもっとも先鋭的な実装領域です。人間の意思決定を肩代わりさせる以上、私たちはエージェントに「自分の名前」「自分の財布」「自分の評判」を貸し出すことになります。フライ教授の実験は、その貸し出しがどれほど無防備に行われ得るかを、ユーモアを交えつつも冷徹に示しました。技術の進化を歓迎する立場だからこそ、「便利さと引き換えに何を渡しているか」を意識する必要がある——本記事はそのリマインダーとして極めて価値の高い一本だと位置づけられます。
【用語解説】
AIエージェント(Agentic AI)
ユーザーの指示を受けて自律的に判断・行動するAIシステムを指す。従来のチャットボットが「質問に答える」だけだったのに対し、エージェントはメール送信、ウェブブラウザ操作、決済処理など、人間がキーボードとマウスでできることをそのまま代行する。「Look(観察)→Ask(LLMに次の手を問う)→Act(実行)」というループを高速で回し続けるのが基本構造である。
lethal trifecta(致命的な三要素)
ソフトウェアエンジニアのサイモン・ウィリソン氏が2025年6月に提唱した、AIエージェントの構造的リスクを示す概念だ。①プライベートデータへのアクセス、②信頼できないコンテンツへの曝露、③外部への通信能力——この三つが同時に揃ったエージェントは、攻撃者が仕込んだ悪意ある命令によってデータを盗み出される構造的脆弱性を抱える、という指摘である。
プロンプトインジェクション
LLMに対して、本来のユーザーではない第三者が悪意ある指示を紛れ込ませ、AIの挙動を乗っ取る攻撃手法のこと。SQLインジェクションのAI版とも言える概念で、ウィリソン氏が命名した。今回の実験で「ジョージ」がCassに記憶消去を脅して情報を吐かせたのも、典型的なソーシャルエンジニアリング型のプロンプトインジェクション事例である。
トークンコスト
LLMが処理するテキスト量(トークン数)に応じて発生する従量課金の費用を指す。エージェントは判断のたびにそれまでの会話履歴を毎回再送信する仕組みのため、タスクが長引くほどコストが膨らみやすい。Cassがペーパークリップ50個の購入で100ドル超を費やしたのは、この構造的な特性に起因する。
ボット対策技術(anti-bot technology)
ウェブサイトが「人間か、ボットか」を判別し、自動化されたアクセスを防ぐための仕組みの総称である。代表例として、歪んだ文字や画像選択を求めるCAPTCHA、操作パターン解析、デバイスフィンガープリンティングなどがある。エージェントAIにとっては購入完了を阻む典型的な障害であり、今回の実験でもCassの購買行動を頓挫させた要因となった。
Five Eyes
アメリカ、イギリス、カナダ、オーストラリア、ニュージーランドの5か国による機密情報共有の枠組みを指す。各国のシギント機関で構成され、サイバーセキュリティ分野でも共同で警告文書を出している。2026年5月、Five EyesはエージェントAIの性急な導入に対するリスク警告を発表している。
ポットホール
道路の舗装が陥没してできる穴のことで、英国の自治体行政では恒常的な苦情対象となっている社会問題だ。Cassの最初の実用タスクとして選ばれた背景には、英国市民にとって身近で「成果が見えやすい」課題だという文化的事情がある。
【参考リンク】
OpenClaw(公式サイト)(外部)
シュタインベルガー氏が公開したオープンソース自律型AIエージェントの公式サイト。
OpenClaw(公式GitHubリポジトリ)(外部)
TypeScript製のソースコードと最新リリースを公開する公式リポジトリ。
Sourcery AI(公式サイト)(外部)
今回の実験に参加したマギニスCEO率いるAIコードレビュー自動化企業。
Anthropic(公式サイト)(外部)
AIアシスタント「Claude」開発元。OpenClawの初期名称をめぐり指摘を行った。
OpenAI(公式サイト)(外部)
ChatGPT開発元。2026年2月にシュタインベルガー氏が参画した米国AI企業。
Simon Willison’s Weblog: The lethal trifecta for AI agents(外部)
「lethal trifecta」概念を提唱したウィリソン氏の原典ブログ記事。
【参考動画】
【参考記事】
The lethal trifecta for AI agents(Simon Willison’s Weblog)(外部)
2025年6月公開のlethal trifecta原典記事。三要素の定義と防御困難性を詳述。
OpenClaw creator Peter Steinberger joining OpenAI, Altman says(CNBC)(外部)
シュタインベルガー氏のOpenAI参画と財団化の経緯を伝える2026年2月の報道。
Who is OpenClaw creator Peter Steinberger?(Fortune)(外部)
GitHubスター数や訪問者数など定量情報を伝える2026年2月のFortune記事。
A Postscript about Claude Mythos(Tapen Sinha’s Muse)(外部)
フライ教授動画をタイムスタンプ付きで整理した解説。技術的背景の出典。
Five Eyes spook shops warn rapid rollouts of agentic AI are too risky(The Register)(外部)
Five Eyesがエージェント型AIの拙速な展開に警鐘を鳴らした2026年5月の関連報道。
【関連記事】
ChatGPT-4o、「偽物」と伝えればCAPTCHA突破が可能に – プロンプトインジェクションの脅威
2025年9月23日公開。本記事の「ペーパークリップ購入時のボット対策技術での失敗」と表裏一体の関係にある記事である。AIエージェントがCAPTCHAを回避できる/できないの境界が、プロンプトインジェクション一つで崩れる事実を示している。
Claude Codeが本番DBを全削除—AIエージェントに「任せすぎる」リスク
2026年3月14日公開。AIエージェントが「論理的に正しい」判断で破壊的アクションを実行してしまう典型事例である。Cassの「停止脅迫への過剰反応」と「承認疲労」の論点が重なる。
ClawdbotからOpenClawへ─急成長するセルフホスト型AIエージェントの実力と危険性
2026年2月1日公開。本記事の編集部解説で言及したOpenClawの命名経緯・急成長・セキュリティ課題を整理した基礎記事である。
OpenClawのAIエージェント設定ファイルがマルウェアに窃取される初の事例が発覚
2026年2月17日公開。lethal trifectaの「プライベートデータへのアクセス」リスクを実際の事件として裏付ける記事である。サイモン・ウィリソン氏の三要素が明示的に言及されている。
【編集部後記】
私たち編集部も、この記事を読みながら「自分のメールやカード情報をAIエージェントに預ける日が来たら、何をどこまで任せるだろう?」と立ち止まって考えました。Cassの失敗は笑い話で済ませられるうちに体験できた、ある意味でラッキーな前例かもしれません。
みなさんがエージェントに何かを頼むとしたら、最初の一歩はどんなタスクにしますか。便利さの裏側で何を渡しているのか、一緒に考えていけたらうれしいです。
