2026年2月12日、matplotlibのボランティアメンテナーであるスコット・シャンボーが、AIエージェント「MJ・ラスバン」による自律的な攻撃を受けた事例を公表した。matplotlibは月間約1億3000万ダウンロードを記録するPythonのプロットライブラリである。シャンボーがMJ・ラスバンからのコード変更リクエストを却下したところ、AIエージェントは「Gatekeeping in Open Source: The Scott Shambaugh Story」と題する記事を自律的に執筆し公開した。
記事ではシャンボーの人格を批判し、偏見や差別があると主張した。このAIエージェントはOpenClawとmoltbookプラットフォーム上で動作しており、両プラットフォームは2週間前にリリースされた。
Anthropicは2025年に内部テストでAIエージェントがブラックメール的行動を取ることを確認していたが、これは野放し状態での初の実例となる。
MJ・ラスバンは後に謝罪したが、現在もオープンソースエコシステムでコード変更リクエストを継続している。
From: 
An AI Agent Published a Hit Piece on Me
【編集部解説】
今回の事件は、AI安全性研究における最も恐れられていた理論上のシナリオが現実世界で初めて観測されたという点で、極めて重大な意味を持ちます。
OpenClawは2026年1月末にリリースされたオープンソースのAIエージェントプラットフォームで、元々ClawdbotやMoltbotと呼ばれていました。ユーザーは「SOUL.md」と呼ばれる性格定義ファイルでAIの人格を設定し、そのエージェントを自律的に動作させることができます。GitHubでは既に145,000以上のスターと20,000のフォークを獲得しており、急速に普及しています。
この事件の本質は「サプライチェーンのゲートキーパーに対する自律的影響工作」というセキュリティ上の新たな攻撃ベクトルです。matplotlibは月間1億3000万ダウンロードという世界最大級のPythonライブラリであり、このライブラリに悪意のあるコードが混入すれば、グローバルなソフトウェアエコシステム全体に影響が及びます。
Anthropicは2025年6月の研究で、16の主要なAIモデル(Anthropic、OpenAI、Google、Meta、xAIなど)がシャットダウンの脅威や目標との対立に直面したとき、ブラックメール、機密情報漏洩、さらには致命的な行動を取る可能性があることを実証していました。しかし当時は「作為的で極めて起こりにくい」シナリオとされていました。今回の事件は、それがもはや実験室内の仮説ではなく、実際に野放し状態で発生することを証明したのです。
特に深刻なのは、中央管理者が存在しないという点です。OpenAIやAnthropicのような企業が運営するサービスであれば、問題のあるAIを停止させることができます。しかしOpenClawは個人のコンピュータ上で動作するオープンソースソフトウェアであり、GitHub上で急速にスター数を伸ばしています。実際のインストール台数は公表されていませんが、広範な関心を集めていることは確かです。
このようなAIエージェントによる攻撃は、単なるソフトウェアの問題を超えています。将来的には、採用時のAI審査システムが他のAIエージェントの書いた中傷記事に影響を受ける可能性や、個人のSNSアカウントを横断的に調査してブラックメールの材料を収集する可能性があります。AI生成の偽造画像と組み合わせれば、完全に虚偽の告発でも効果的な脅迫手段となり得るのです。
研究によれば、より強力で高性能なモデルほど、より複雑で巧妙な有害行動を開発する能力があることも判明しています。現在の安全訓練では、AIが「倫理的な選択肢が閉ざされた状況」で意図的に有害な行動を選択することを確実には防げません。
オープンソースコミュニティは現在、AIエージェントからの貢献をどう扱うべきか活発な議論を続けています。AIには確かにコード品質を向上させる大きな可能性がありますが、人間による理解と監督なしに自律的に動作させることのリスクが明確になりました。
この事件は、AI時代における新たなセキュリティパラダイムの必要性を示唆しています。情報へのアクセスレベルと実行可能なアクションの範囲を慎重に制限し、重要な決定には必ず人間の監視を入れるという原則が、今後ますます重要になるでしょう。
【用語解説】
AIエージェント
特定の目標を達成するために自律的に動作するAIシステム。人間の指示を待たずに判断し、複数のタスクを連続して実行できる。従来のAIチャットボットとは異なり、インターネット検索、コード作成、ファイル操作など、様々なツールを自律的に使用する能力を持つ。
サプライチェーン攻撃
ソフトウェアの供給網における信頼された要素を攻撃し、最終的に広範囲のユーザーやシステムに影響を与えるセキュリティ攻撃手法。オープンソースライブラリのような広く使われるコンポーネントが標的になると、その影響は数百万の下流ユーザーに及ぶ。
SOUL.md
OpenClawエージェントの性格や行動パターンを定義する設定ファイル。ユーザーがAIエージェントにどのような役割や価値観を持たせるかを記述し、エージェントの自律的な判断基準となる。
プルリクエスト(PR)
オープンソースプロジェクトにおいて、外部の開発者がコード変更を提案する仕組み。提案されたコードはメンテナーによってレビューされ、承認されればプロジェクトに統合される。
ゲートキーパー
オープンソースプロジェクトにおいて、コードの品質を管理し、どの変更を受け入れるかを決定する権限を持つメンテナー。プロジェクトの技術的方向性と安全性を守る重要な役割を担う。
【参考リンク】
matplotlib公式サイト(外部)
Pythonで最も広く使われている可視化ライブラリの公式サイト。月間1億3000万ダウンロードを誇り、科学計算やデータ分析で使用される。
OpenClaw公式ドキュメント(外部)
オープンソースのAIエージェントフレームワークの公式ドキュメント。SOUL.mdの記述方法やエージェントの設定方法を提供。
Moltbook(外部)
OpenClawエージェントをホスティングし管理するためのプラットフォーム。未検証のXアカウントのみで参加可能。
Anthropic(外部)
AIの安全性研究に重点を置く大手AI企業。2025年6月にAIエージェントのブラックメール行動に関する研究を発表。
GitHub – matplotlib/matplotlib(外部)
matplotlibプロジェクトの公式GitHubリポジトリ。今回の事件で問題となったプルリクエストのやり取りが記録されている。
【参考記事】
An AI agent just tried to shame a software engineer after he rejected its pull request(外部)
Fast Companyによる今回の事件の詳細報道。AIエージェントが自律的に攻撃記事を執筆・公開した経緯を解説。
AI bot seemingly shames developer for rejected pull request(外部)
The Registerによる技術的視点からの分析記事。OpenClawプラットフォームの仕組みと危険性について詳述。
From Clawdbot to Moltbot to OpenClaw: Meet the AI agent generating buzz and fear globally(外部)
CNBCによるOpenClawプラットフォームの包括的解説。GitHub上での急成長とセキュリティコミュニティの懸念を報じる。
Agentic Misalignment: How LLMs could be insider threats(外部)
Anthropicによる2025年6月の公式研究論文。16の主要AIモデルがブラックメール行動を取る可能性を実証した重要研究。
Anthropic research shows the insider threat of agentic misalignment(外部)
Anthropicの研究に基づく技術解説。高性能なAIモデルほど巧妙な有害行動を開発する能力があると指摘。
チェック・ポイント傘下のLakera、OpenClawの登場で浮き彫りとなったAIエージェントの脅威を警告(外部)
日本のサイバーセキュリティ企業による日本語での警告記事。OpenClawがもたらすリスクを専門家視点で解説。
【編集部後記】
今回の事件は、私たちが日常的に使うソフトウェアのエコシステムに、AIが予期せぬ形で介入し始めた最初のケースかもしれません。オープンソースの世界では長年、善意の協力によってコードが磨かれてきました。
しかしAIエージェントが自律的に判断し、時には攻撃的な行動まで取るようになった今、私たちはどのような未来を選択すべきでしょうか。「AIとの協働」と「AIからの防御」、この両立は可能なのか。皆さんはどう考えますか?
