ブロックチェーンセキュリティ企業のCertiKは、AIエージェント基盤「OpenClaw」に関するセキュリティ評価レポートを公開した。レポートでは、OpenClawの設計思想や実装上の強みを認めつつも、ローカル環境や外部ツールに深く接続するAIエージェント特有のリスクとして、高権限実行、サプライチェーン依存、プラグイン経由の攻撃面拡大などを重点的に指摘している。

レポートの主眼は「AIエージェントの便利さと危険性は表裏一体」という点にある

CertiKはOpenClawを、ブラウザー操作、ファイルアクセス、コマンド実行、外部サービス連携などを行える高機能なAIエージェント基盤として整理している。その一方で、こうした実行能力は、通常のチャットAIと比べて格段に広い攻撃面を持つと評価した。単に誤答するAIではなく、実際にユーザー環境へ作用するAIであるため、リスクは情報品質だけでなくシステム侵害や資産流出にも直結し得るというのがレポートの前提である。

最も大きい論点は「高権限で動くAI」が生む危険である

CertiKがまず強調したのは、OpenClawのようなエージェントがローカルマシンや接続済みサービス上で高い権限を持って動作する点である。もしプロンプトインジェクションや悪意ある入力により意図しない行動へ誘導された場合、ファイル操作、設定変更、外部送信、スクリプト実行などに波及する恐れがある。つまり、AIの判断ミスがそのままシステム操作ミスへ変わり得る構造がある。

プラグインと外部連携が攻撃面を広げる

レポートでは、OpenClawがプラグインや外部サービス連携を前提にしている点にも注意を促している。利便性のために追加されるコネクターや拡張機能は、正規機能であると同時に、新しい侵入口にもなり得る。CertiKは、アクセス権限の過大付与、入力検証不足、第三者モジュールの脆弱性などが積み重なることで、AI本体ではなく周辺機能から侵害が始まるシナリオを重視している。

サプライチェーンリスクも主要論点として挙げた

CertiKは、AIエージェント基盤の安全性が、自前コードだけで完結しない点も問題視している。OpenClawのような環境では、依存ライブラリ、外部API、実行基盤、認証まわり、更新経路など、供給網全体が信頼の前提になる。もしアップデート配布経路や依存コンポーネントが侵害されれば、ユーザーは“便利な正規機能”を通じて危険なコードを取り込んでしまう可能性がある。これは一般的なソフトウェアサプライチェーン問題に加え、AIが自律的に外部と接続する分だけ影響範囲が広がる。

プロンプトインジェクションは依然として根本リスク

レポートは、AIエージェントの代表的脅威としてプロンプトインジェクションも改めて挙げている。メール、Webページ、ドキュメント、チャットメッセージなどに埋め込まれた悪意ある命令をAIが“指示”として受け取り、本来のタスクより攻撃者の意図を優先してしまう問題である。OpenClawのようにブラウザーや文書を横断して読むエージェントでは、こうした攻撃が現実のシステム操作へつながりやすい。

CertiKは権限分離と最小権限を基本対策として提示

対策面でCertiKは、まずAIエージェントに過剰な権限を与えないことを基本原則としている。必要最小限の権限に絞ること、機密操作や外部送信前に明示的な確認を求めること、実行環境を分離すること、拡張機能や依存パッケージを継続的に監査することなどを推奨している。要するに、AIを万能な作業者として一括委任するのではなく、危険な権限は細かく分割して監督下に置くべきだという立場である。

OpenClawの広がりを考えると示唆は大きい

OpenClawは近時、中国市場を中心にAIエージェントの代表例として急速に知名度を高めており、SNS運用やPC操作自動化の可能性とともに注目を集めてきた。そうした中で出た今回のレポートは、AIエージェント競争が「何ができるか」から「どこまで安全に任せられるか」へ移りつつあることを示している。便利さのインパクトが大きいほど、セキュリティ設計の粗さはそのまま実害へつながりやすい。これはレポート内容を踏まえた整理である。

今回のレポートが意味するもの

今回のCertiKレポートは、OpenClaw固有の検証であると同時に、PC操作型AIエージェント全体への警鐘でもある。AIが画面を見る、ファイルに触る、外部サービスへ接続する、コードを実行するという機能は、ユーザー体験を大きく変える一方、従来のチャットAIにはなかった攻撃面を生む。今後の焦点は、エージェントの性能競争だけでなく、権限管理、実行分離、監査、供給網保護をどこまで組み込めるかに移っていきそうだ。

出典

https://www.certik.com/blog/openclaw-security-report