AI アシスタント OpenClaw の広範なミスコンフィグ:OpenClaw インスタンス 40,000+ が露出

Researchers Find 40,000+ Exposed OpenClaw Instances

2026/02/09 InfoSecurity — 人気の AI アシスタント OpenClaw における広範なミスコンフィグにより、多数のインスタンスがパブリック・インターネット上に露出していると、SecurityScorecard が警告を発している。同社によると、旧称 Clawdbot/Moltbot として知られるツールの、露出しているインスタンス数は 40,214 件に達しており、現在も増加しているという。これらは 28,663 のユニークな IP アドレスに関連付けられている。

一連の露出している AI エージェントは、OpenClaw インスタンスが連携可能な、潜在的に機微なシステムへの完全なアクセスを、脅威アクターに許す可能性がある。

すでに SecurityScorecard は、そのような活動が発生していることを確認している。同社は、549 件の露出インスタンスが過去の侵害活動と関連しており、1,493 件が既知の脆弱性と関連していることを突き止めている。

観測されたデプロイメント全体の 63% が脆弱であり、そのうち 12,812 件の露出インスタンスは、リモート コード実行 (RCE) 攻撃による悪用が可能である。これにより、脅威アクターはホスト・マシンを完全に掌握する可能性を得る。

SecurityScorecard は、「アクセスが中央に集約されるほど、単一の侵害による被害は拡大する。一見すると便利に見えるものに、実際のリスクが集中する。このパターンは、クラウド・ツール/サードパーティ・ソフトウェア・シャドー IT の世界で、セキュリティ・チームが長年見てきたものと同じである」と、警告している。

その一方で、脆弱性の悪用も現実的なものである。すでに SecurityScorecard は、OpenClaw において 3 件の高深刻度 CVE を発見しており、いずれについても公開 PoC エクスプロイト・コードが存在するとしている。

脆弱性の露出の大半は中国に集中しており、それに続くのが米国とシンガポールである。最も影響を受けている業種は情報サービスであり、その後に、テクノロジー/製造/通信が続く。

RCE の脆弱性に加え、OpenClaw インスタンスは、間接的プロンプト・インジェクションのリスクにもさらされている。この攻撃手法は、悪意の指示を含むメッセージの送信や、Web サイトへの隠しテキストの配置などによるものだ。それらの悪意のメッセージをエージェントが読み取ると、文脈に従って忠実に指示が実行されるが、所有者は気付かない。

また、一部の OpenClaw ユーザーは、サードパーティ・サービスに関連付けられた API キーを、コントロール・パネル経由で漏洩させており、インターネット露出による影響をさらに拡大させている。

OpenClaw AI デプロイメントのセキュリティ確保の方法

SecurityScorecard が OpenClaw ユーザーに対して促すのは、エージェント型 AI 全般に適用可能な、以下の対策を講じることだ。

  • 必要最小限のみを付与し、見直しを頻繁に行い、長期間にわたり有効な権限の付与を避けることで、アクセスを徹底的に制限する。
  • 決して信頼せずに常に検証するという原則に基づいたゼロ トラストの考え方を、すべてのエージェント/ツール/インテグレーションに適用する。
  • エージェントが依存する、ロジック/指示/コンポーネントに注意を払う。
  • プロンプト・インジェクションや操作リスクを認識する。エージェントは文脈が許すことを、そのまま実行する。したがって、誤用されると被害を与え得る、特権的なアイデンティティとして扱う必要がある。

SecurityScorecard の VP of Threat Intelligence and Research である Jeremy Turner は、「こうしたツールを盲目的にダウンロードし、個人生活のすべてにアクセスできるシステム上で使い始めてはならない。十分に信頼する前に、分離を設け、自ら検証実験を行うべきである」と述べている。

AI アシスタント OpenClaw の不適切な設定により、数万件ものインスタンスがインターネット上に露出している深刻な事態について解説する記事です。この問題の原因は、OpenClaw のデフォルト・コンフィグが、すべてのネットワーク・インターフェイス (0.0.0.0) を介して、外部からの接続を待ち受ける設定になっていたことにあります。本来、個人の PC やサーバ内で動作させるツールは、外部からのアクセスを遮断する設定 (localhost/127.0.0.1 のみ許可) が基本ですが、このツールが利便性を優先した結果、インターネットに公開されたままの状態で運用されるケースが続出しています。ご利用のチームは、ご注意ください。よろしければ、OpenClaw での検索結果も、ご参照ください。