Astrix Securityは2026年2月10日、オープンソースAIアシスタントOpenClaw(別名MoltBot)の展開を検出する無料ツール「OpenClaw Scanner」の一般提供を発表した。約2週間前、セキュリティ研究者が公開アクセス可能なOpenClawインスタンスの脆弱性を暴露した。
Astrixの分析では、実際の企業環境でSalesforce、GitHub、Slackなどへの永続的アクセスを可能にする重大な設定ミスを確認した。OpenClaw Scannerは読み取り専用のEDRテレメトリーを使用し、エンドポイント上で何も実行しない。Pythonベースのポータブルツールとして設計され、https://pypi.org/project/astrix-openclaw-scanner/から無料ダウンロード可能である。
共同創業者兼プレジデントのイダン・ゴアは、エージェント活動がセキュリティインシデントになる前に検出する方法を提供すると述べた。
From: 
Astrix Security Releases OpenClaw Scanner Amid Growing Concerns Over Autonomous AI Agents
【編集部解説】
自律型AIエージェントが企業環境に静かに浸透し始めています。これらは人間の指示を待たずに判断し、コマンドを実行し、複数のシステムに自動的にアクセスできる存在です。生産性向上の切り札として期待される一方で、セキュリティの観点からは「見えない脅威」となりつつあります。
今回のOpenClaw(旧Moltbot)の事例は、その危険性を象徴しています。2026年1月末にセキュリティ研究者が発見した複数の脆弱性は、高い深刻度を記録しました。攻撃者が細工したリンクを踏ませるだけで、被害者のブラウザを経由してエージェントへの完全なアクセス権限を奪取できる仕組みです。localhostにバインドされた正しく設定されたインスタンスでさえ攻撃可能だったという点が、従来のセキュリティ常識を覆しています。
さらに深刻なのは、OpenClawのようなエージェントが持つ「非人間アイデンティティ(NHI)」の管理問題です。Astrix Securityの説明によれば、エージェントやその他のNHIは人間の100倍の数に上りながら、従来の Identity and Access Management(IAM)の枠組みでは管理されていません。これらは分散的に作成され、特定の個人に紐付かず、規制要件からも逃れやすい存在です。
企業環境では、このようなエージェントがSalesforce、GitHub、Slackなどの重要システムへのアクセス権を持ちながら、IT部門の可視範囲外で動作している可能性があります。一つの設定ミスが、攻撃者に永続的なアクセス経路を提供してしまうリスクがあるのです。
Astrix SecurityがOpenClaw Scannerを無料で提供した背景には、この緊急性があります。読み取り専用のEDRテレメトリーを使用するこのツールは、エンドポイントに何も実行せずにエージェントの存在を検出できる設計です。セキュリティインシデントに発展する前に、組織内のどこでAIエージェントが動作しているかを把握する第一歩となります。
自律型AIエージェントは、運用自動化の未来を切り拓く技術です。しかし同時に、その自律性ゆえに、従来のセキュリティモデルでは対応しきれない新たな攻撃対象領域を生み出しています。プロンプトインジェクション、ツールの悪用、データ漏洩、権限昇格といったリスクは、機械の速度で実行される点で人間による攻撃とは次元が異なります。
今後、AIエージェントの活用が本格化するにつれ、「エージェント専用のセキュリティフレームワーク」の構築が不可欠となるでしょう。ゼロスタンディング特権、Just-in-Timeアクセス、継続的な行動監視といった「設計によるセキュア」のアプローチが求められます。OpenClawの教訓は、イノベーションと安全性のバランスをいかに取るかという、これからの時代の重要な問いを投げかけています。
【用語解説】
EDR(Endpoint Detection and Response)
エンドポイント検出・応答。企業のPC、サーバー、モバイルデバイスなどのエンドポイントを監視し、不審な動作やマルウェアをリアルタイムで検出・対応するセキュリティ技術。従来のアンチウイルスソフトとは異なり、侵入後の挙動分析や脅威ハンティングも可能である。
非人間アイデンティティ(NHI:Non-Human Identities)
人間以外のデジタルエンティティが持つアクセス権限や認証情報の総称。APIキー、サービスアカウント、OAuth トークン、AIエージェントなどが含まれる。従来のIAMは人間のアカウント管理を前提としているため、NHIは管理の盲点となりやすい。
IAM(Identity and Access Management)
アイデンティティおよびアクセス管理。組織内のユーザーやシステムに対して、適切な権限を付与し、認証・認可を一元管理する仕組み。誰が何にアクセスできるかを制御する基盤技術である。
プロンプトインジェクション
AIモデルに対する攻撃手法の一つ。悪意のある指示をプロンプトに混入させ、AIの動作を意図しない方向に操作する。AIエージェントの場合、システムコマンドの実行やデータ漏洩につながる危険性がある。
Just-in-Timeアクセス
必要な時だけ必要な権限を一時的に付与し、使用後は自動的に剥奪するセキュリティ手法。常時権限を持たせる従来の方式と比べ、攻撃者が悪用できる時間窓を最小化できる。
ゼロスタンディング特権(Zero Standing Privileges)
デフォルトでは一切の特権を持たず、必要な時のみ承認プロセスを経て権限を取得する考え方。常設の管理者権限を排除することで、内部脅威や認証情報の漏洩リスクを軽減する。
【参考リンク】
Astrix Security 公式サイト(外部)
AIエージェントと非人間アイデンティティのセキュリティに特化。無料ツール提供や企業向け統合プラットフォームを展開している。
OpenClaw Scanner – PyPI(外部)
Python Package IndexにあるOpenClaw Scanner。組織内のOpenClaw展開を検出する無料ツールをダウンロード可能。
Astrix Security Blog – OpenClaw分析記事(外部)
Astrix実施のOpenClaw独自分析レポート。企業環境で観察された設定ミスや脆弱性の詳細技術解説を掲載。
OWASP Non-Human Identities Top 10(外部)
非人間アイデンティティの脅威をまとめたOWASPプロジェクト。NHI管理の主要リスクと対策ベストプラクティスを提示。
【参考記事】
OpenClaw Bug Enables One-Click Remote Code Execution via …(外部)
OpenClawの脆弱性を詳細に報じた記事。細工したリンクでエージェントへの完全アクセス権を奪取できる仕組みを解説。
OpenClaw (Moltbot/Clawdbot) Security Guide(外部)
OpenClawのセキュリティ問題に関する技術ガイド。脆弱性の発見経緯や攻撃シナリオ、推奨緩和策を包括的に説明。
CVE-2026-25253 — Openclaw(外部)
OpenClawの脆弱性に関するCVE情報。具体的な脆弱性の詳細と技術的な情報を提供している。
What are Non-Human Identities (NHIs)? | CrowdStrike(外部)
非人間アイデンティティの概念と管理重要性を解説。APIキーやサービスアカウント含め従来IAMで管理されにくい点を指摘。
One Autonomous Agent Can Put an Enterprise at Risk. Here’s How(外部)
自律型エージェント一つが企業全体をリスクにさらす可能性を論じた記事。機械速度で実行される攻撃の次元の違いを提供。
What is AI Agent Security Plan 2026? Threats and Strategies Explained(外部)
2026年のAIエージェントセキュリティ計画を解説。プロンプトインジェクション等の具体的リスクを列挙し対策戦略を提示。
Oasis Security – What Are Non-Human Identities(外部)
非人間アイデンティティの定義と管理課題を説明。分散的に作成され個人に紐付かず規制要件から逃れやすい存在と指摘。
【編集部後記】
皆さんの組織では、AIエージェントがどこで、どのように動いているか把握できていますか?生産性向上のために導入したツールが、知らぬ間にセキュリティの穴になっているかもしれません。
OpenClawの事例は決して他人事ではなく、自律型AIの普及が加速する今だからこそ向き合うべき問題です。便利さと安全性のバランスをどう取るか、一緒に考えていきたいテーマだと感じています。皆さんの職場ではどんな対策が取られているでしょうか。
