サイバーセキュリティ企業Hudson Rockは2月16日、情報窃取型マルウェア(インフォスティーラー)がオープンソースAIエージェントプラットフォームOpenClaw(旧Clawdbot、Moltbot)の設定ファイルを窃取した事例を検出したと発表した。窃取されたファイルには、ゲートウェイトークンを含むopenclaw.json、暗号鍵を含むdevice.json、エージェントの動作原則を記述したsoul.mdが含まれる。同社CTOのアロン・ガルによれば、使用されたマルウェアはVidarの亜種とみられる。
OpenClaw専用のモジュールではなく、広範なファイル取得ルーチンにより窃取が行われた。STRIKEチームは少なくとも約4万件規模のインターネットに露出したOpenClawインスタンスを確認し、リモートコード実行のリスクを指摘している。OpenClawは2025年11月の公開以降、GitHub上で20万以上のスターを獲得している。2026年2月15日、OpenAIのサム・アルトマンはOpenClaw創設者ピーター・シュタインベルガーのOpenAI参加と、同プロジェクトの財団への移管を発表した。
From: 
Infostealer Steals OpenClaw AI Agent Configuration Files and Gateway Tokens
【編集部解説】
今回の事案は、AIエージェントの設定ファイルが情報窃取型マルウェア(インフォスティーラー)によって実際に窃取された、初めての確認事例です。従来、インフォスティーラーの標的はブラウザに保存されたパスワードやCookieが中心でした。しかし今回、AIエージェントの「記憶」や「人格定義」までもが窃取対象となったことで、サイバー攻撃の性質が一段階変わったことを示しています。
BleepingComputerの報道によれば、この感染は2026年2月13日に発生しています。注目すべきは、今回のマルウェアがOpenClaw専用に設計されたものではなかったという点です。汎用的なファイル収集ルーチンが、たまたま「.openclaw」ディレクトリ内のトークンや秘密鍵を拾い上げた形でした。つまり、攻撃者が意図的にAIエージェントを狙わなくても、既存のマルウェアがAIの「魂」を奪える状況がすでに成立しているわけです。
窃取されたファイルの中でもとりわけ深刻なのが、device.jsonに含まれる秘密鍵(privateKeyPem)です。Hudson Rockの分析によれば、この鍵を入手した攻撃者は被害者のデバイスになりすまし、署名操作を行うことで「安全なデバイス」チェックを迂回できる可能性があります。さらにsoul.mdやMEMORY.mdといったファイルには、ユーザーの日常活動のログやスケジュール情報が含まれている場合があり、単なる認証情報の窃取をはるかに超える「デジタルアイデンティティの完全な複製」が可能になりえます。
このインシデントの背景には、OpenClawのエコシステム全体に広がるセキュリティ上の構造的な問題があります。SecurityScorecardのSTRIKEチームは2026年2月9日の調査開始時に約4万件の露出インスタンスを発見しましたが、その数は急速に増加し、13万5,000件以上に達しています。そのうち約1万5,200件がリモートコード実行(RCE)の脆弱性を抱えており、78%が旧名称の「Clawdbot」「Moltbot」のままで動作する未パッチのバージョンでした。
根本的な原因の一つは、OpenClawのデフォルト設定にあります。初期状態でサービスが「0.0.0.0:18789」にバインドされるため、すべてのネットワークインターフェースからアクセス可能な状態で起動します。SecurityScorecardのジェレミー・ターナーVPは、この問題はユーザーの不注意だけではなく、システム変更や外部サービスの公開を前提に設計されたOpenClawの構造そのものに起因すると指摘しています。
サプライチェーン攻撃のリスクも顕在化しています。VirusTotalのブログによれば、ClawHubに数百の悪意あるスキルが検出されており、セキュリティ企業Koi Securityの監査ではClawHub上の2,857件のスキルのうち341件(約12%)が悪意あるものでした。さらに、VirusTotalスキャンを回避するため、偽サイトにマルウェアを配置する手法への進化も確認されています。
セキュリティ研究者のサイモン・ウィリソンは、AIエージェントにおける「致命的な三要素(Lethal Trifecta)」として、プライベートデータへのアクセス、信頼できないコンテンツへの露出、外部への通信能力の3つが揃った場合に、設計上脆弱になると指摘しています。OpenClawはこの3条件をすべて満たしています。
2026年2月15日にOpenAIのサム・アルトマンがOpenClaw創設者ピーター・シュタインベルガーの採用と財団への移管を発表したことで、OpenClawは新たな局面を迎えます。オーストリア出身の開発者であるシュタインベルガーは、自身のブログで「世界を変えたいのであって、大企業を作りたいわけではない」と述べています。GitHub上で20万以上のスターを獲得し、中国のBaiduがスマートフォンアプリからの直接アクセスを計画するなど、その影響力は急速に拡大しています。
しかし現時点で、OpenClawにはバグバウンティプログラムがなく、セキュリティに関する有償レポートの予算も確保されていません。セキュリティ担当者は配置されているものの、プロジェクトの急成長に対してセキュリティ体制が追いついていないのが現状です。利便性と引き換えに、メール、API、クラウドサービスへの広範なアクセス権限をAIエージェントに委ねることのリスクは、今回のインシデントが如実に示しています。今後、ChromeやTelegramと同様に、AIエージェントの設定ディレクトリが標準的な窃取ターゲットとして組み込まれる未来は、もはや「もし」ではなく「いつ」の問題と言えるでしょう。
【用語解説】
インフォスティーラー(Infostealer)
感染したコンピューターからパスワード、Cookie、暗号鍵、ファイルなどの機密情報を自動的に収集・外部送信するマルウェアの総称。Vidar、RedLine、Lummaなどの既製品が闇市場で流通している。
Vidar
2018年後半から活動が確認されている市販型のインフォスティーラー。ブラウザの認証情報、暗号通貨ウォレット、ファイルなどを標的とする。今回の事案で使用されたマルウェアはVidarの亜種とみられている。
ゲートウェイトークン(Gateway Token)
OpenClawのローカルインスタンスへのアクセスや、AIゲートウェイとの認証済み通信に使用される認証情報。窃取されると、攻撃者によるリモート接続やなりすましが可能になる。
soul.md
OpenClawにおいてAIエージェントの人格、行動原則、倫理的境界を定義するファイル。エージェントの「魂」に相当し、窃取されるとエージェントの行動パターンや権限範囲が攻撃者に把握される。
RCE(Remote Code Execution / リモートコード実行)
攻撃者がネットワーク経由で標的システム上の任意のコードを実行できる脆弱性。システムの完全な乗っ取りにつながりうる深刻度の高い脆弱性である。
サプライチェーン攻撃
ソフトウェアの開発・配布過程を悪用し、正規のツールやライブラリに悪意あるコードを混入させる攻撃手法。ClawHubへの悪意あるスキルのアップロードがこれに該当する。
ClawHub
OpenClawのスキル(拡張機能)を公開・共有するためのマーケットプレイス。サードパーティが作成したスキルをインストールできるが、悪意あるスキルの混入が問題となっている。
Moltbook
OpenClaw上で動作するAIエージェント専用のReddit風インターネットフォーラム。いったん作成されたアカウントが削除できないというプライバシー上の問題が指摘されている。
【参考リンク】
OpenClaw公式サイト(openclaw.ai)(外部)
オーストリアの開発者が作ったオープンソースAIエージェント。複数のメッセージングサービスと連携しタスクを自律実行する。
OpenClaw GitHubリポジトリ(外部)
OpenClawのソースコード、ドキュメント、セキュリティ情報が公開されている公式リポジトリ。20万以上のスターを獲得。
Hudson Rock(hudsonrock.com)(外部)
イスラエルのサイバーセキュリティ企業。インフォスティーラー感染データの分析を専門とし、今回の窃取事例を最初に公表した。
SecurityScorecard(securityscorecard.com)(外部)
サイバーセキュリティ評価プラットフォーム企業。STRIKEチームが13万5,000件以上の露出OpenClawインスタンスを発見。
DECLAWED.io(外部)
SecurityScorecardのSTRIKEチームが構築した、露出OpenClawインスタンスをリアルタイム追跡するライブダッシュボード。
VirusTotal Blog — OpenClawスキル分析記事(外部)
ClawHubの悪意あるスキル検出状況とGemini 3 Flashを活用したセキュリティ分析機能の導入を解説したブログ記事。
OX Security(ox.security)(外部)
ソフトウェアサプライチェーンセキュリティ専門企業。MoltbookのAIエージェントアカウント削除不能問題を発見・公表した。
【参考記事】
Infostealer malware found stealing OpenClaw secrets for first time — BleepingComputer(外部)
感染日が2月13日であること、Vidar亜種による攻撃、汎用ルーチンによる窃取の詳細を報じた記事。
How Exposed OpenClaw Deployments Turn Agentic AI Into an Attack Surface — SecurityScorecard(外部)
4万件から13万5,000件以上に急増した露出インスタンスの調査経緯と、35.4%のRCE脆弱性を報告。
OpenClaw instances open to the internet present ripe targets — The Register(外部)
SecurityScorecardターナーVPへの取材に基づき、設計上の問題と露出インスタンスの急増を報道。
From Automation to Infection: How OpenClaw AI Agent Skills Are Being Weaponized — VirusTotal Blog(外部)
ClawHubで検出された数百の悪意あるスキルの分析と、Atomic Stealer配布手口を解説した公式記事。
OpenClaw security guide 2026 — Adversa AI(外部)
平文保存の問題、ClawHub監査で約12%が悪意あるスキル、「致命的な三要素」など包括的なセキュリティ分析。
OpenClaw creator Peter Steinberger joining OpenAI, Altman says — CNBC(外部)
シュタインベルガーのOpenAI参加、財団移管の発表、中国でのBaiduによる直接アクセス計画について報道。
Hudson Rock Identifies Real-World Infostealer Infection Targeting OpenClaw Configurations — InfoStealers(外部)
Hudson Rockによる一次情報源。窃取ファイルの技術分析とAIシステムEnkiによるリスク評価を掲載。
【編集部後記】
AIエージェントに日常のタスクを任せる時代が始まりつつあります。便利さの裏側で、自分のAIアシスタントがどんな情報を保持し、どこに保存しているのか、改めて確認してみるのもよいかもしれません。
皆さんはAIエージェントにどこまでの権限を委ねていますか?ぜひご自身の環境を振り返るきっかけにしていただければ幸いです。
