メインコンテンツまでスキップ

OpenClaw の「Lobster Fever」が 2026 年における Web3 最大のセキュリティ警鐘となった

· 約 16 分
Dora Noda
Dora Noda
Software Engineer

GitHub 史上最速で成長したリポジトリが、82 カ国にわたる 135,000 以上の脆弱な AI エージェントを露呈させました。そして、暗号資産ユーザーがその主な標的となっています。OpenClaw セキュリティ危機へようこそ。ここでは、AI ゲートウェイの導入を競う中国のテック巨人と、ブロックチェーンセキュリティのルールを書き換えつつある大規模なサプライチェーン攻撃が衝突しました。

セキュリティの悪夢と化したバイラル現象

2026 年 1 月下旬、OpenClaw は前例のない快挙を成し遂げました。1 日で 20,000 以上の GitHub スターを獲得し、プラットフォーム史上最速で成長したオープンソースプロジェクトとなったのです。2026 年 3 月までに、この AI アシスタントは 250,000 以上のスターを集め、世界中のテック愛好家が個人用 AI の未来と思われたものをこぞってインストールしました。

クラウドベースの AI アシスタントとは異なり、OpenClaw はファイル、メール、アプリケーションへのフルアクセス権限を持ち、ユーザーのコンピュータ上で完全に動作します。WhatsApp、Telegram、Discord を通じてメッセージを送信でき、24 時間 365 日稼働します。携帯電話からの何気ないメッセージをトリガーに、シェルコマンドの実行、ウェブ閲覧、メール送信、カレンダー管理、さらにはデジタルライフ全般にわたるアクションを実行します。

その売り文句は抗いがたいものでした。ローカルで動作し、常に利用可能で、無限の能力を持つ自分専用の AI エージェント。しかし、その現実ははるかに危険なものでした。

135,000 件の露出:セキュリティ災害の規模

2026 年 2 月までに、セキュリティ研究者は衝撃的な事実を発見しました。82 カ国で 135,000 以上の OpenClaw インスタンスがパブリックインターネット上に露出しており、そのうち 50,000 以上がリモートコード実行に対して脆弱だったのです。その原因は、OpenClaw のデフォルト設定における根本的なセキュリティ上の欠陥でした。

OpenClaw はデフォルトで 0.0.0.0:18789 にバインドされます。つまり、セキュリティのベストプラクティスが要求する 127.0.0.1(ローカルホストのみ)ではなく、パブリックインターネットを含むすべてのネットワークインターフェースでリスニングします。これを例えるなら、玄関のドアを全開にして「ご自由にどうぞ」という看板を立てているようなものです。しかも、そのドアはあなたのデジタルライフ全体につながっています。

「ClawJacked」脆弱性は状況をさらに悪化させました。攻撃者は、ユーザーに悪意のあるウェブサイトを訪問させるだけで、AI アシスタントを乗っ取ることができました。一度侵害されると、攻撃者は AI エージェント自身と同じレベルのアクセス権、つまりファイル、認証情報、ブラウザデータ、そして暗号資産ウォレットへのアクセス権を手に入れます。

カスペルスキー、Bitsight、Oasis Security などのセキュリティ企業は一斉に緊急警告を発しました。共通の認識は明確でした。OpenClaw は、重大なリモートコード実行の脆弱性、アーキテクチャ上の弱点、そして最も憂慮すべきことに、プラグインマーケットプレイスにおける大規模なサプライチェーン汚染キャンペーンを含む「セキュリティの悪夢」を象徴していたのです。

ClawHavoc:暗号資産ユーザーを狙ったサプライチェーン攻撃

研究者が OpenClaw 本体の脆弱性に焦点を当てている間、より狡猾な脅威が ClawHub で展開されていました。ClawHub は、ユーザーが AI エージェント用のサードパーティ製「スキル」(プラグイン)を簡単に見つけてインストールできるように設計されたマーケットプレイスです。

2026 年 2 月、ClawHavoc と名付けられたセキュリティ調査により、ClawHub で監査された 2,857 のスキルのうち、341 が悪意のあるものであることが判明しました。2 月中旬にマーケットプレイスが 10,700 以上のスキルに拡大すると、悪意のあるスキルの数は 2 倍以上の 824 に増え、一部の報告では 1,184 個の悪意のあるスキルに達したとされています。

その攻撃メカニズムは驚くほど巧妙でした。

  1. 偽の前提条件: 335 のスキルが偽のインストール要件を使用して、ユーザーに Atomic macOS Stealer (AMOS) マルウェアをダウンロードさせようとしました。
  2. プラットフォーム固有のペイロード: Windows では、侵害された GitHub リポジトリから「openclaw-agent.zip」をダウンロードさせました。macOS では、glot.io にホストされたインストールスクリプトをターミナルに直接コピーさせました。
  3. 高度なソーシャルエンジニアリング: ドキュメントを用いて、正当なセットアップ手順を装いながら、悪意のあるコマンドを実行するようユーザーを説得しました。
  4. 統合されたインフラ: すべての悪意のあるスキルが同じコマンド&コントロール(C2)インフラを共有しており、組織的なキャンペーンであることを示していました。

主な標的は暗号資産ユーザーでした。

このマルウェアは、以下の情報を盗むように設計されていました。

  • 取引所の API キー
  • ウォレットの秘密鍵
  • SSH 認証情報
  • ブラウザのパスワード
  • Solana ウォレットやウォレットトラッカーからの暗号資産固有のデータ

悪意のあるスキルのうち、111 個は Solana ウォレットの統合や暗号資産トラッカーなど、明確に暗号資産に特化したツールでした。攻撃者は、ブラウザ拡張機能やウォレットツールのインストールに慣れている暗号資産ユーザーが、AI エージェントのサプライチェーン攻撃において最も収益性の高い標的であることを理解していました。

中国テック巨人による導入競争

セキュリティ研究者が警告を発する一方で、中国のテック巨人はこれを好機と捉えました。2026 年 3 月初旬、テンセント、アリババ、バイトダンス、JD.com、百度は、競い合うように OpenClaw の無料インストールキャンペーンを開始しました。通常は数ヶ月かかる競争のスクランブルを、わずか数日に凝縮したのです。

戦略は明確でした。商用 AI プロジェクトが拡大する前に、無料導入を顧客獲得の手段として利用し、ユーザーを囲い込むことです。各社は「次世代の AI 開発者にとって最初のインフラ接点」になることを目指して競い合いました。

  • テンセントQClaw を発表し、OpenClaw を WeChat と統合することで、ユーザーがスマートフォンからコマンドを送信してノートパソコンをリモート制御できるようにしました。
  • アリババクラウドは、自社の AI モデル Qwen シリーズと接続し、プラットフォーム全体で OpenClaw のサポートを展開しました。
  • **バイトダンスの火山引擎(Volcano Engine)**は、OpenClaw の「すぐに使える」バージョンである ArkClaw を発表しました。

皮肉なことに、セキュリティ研究者が 135,000 件の露出インスタンスと大規模なサプライチェーン攻撃を警告している最中に、中国最大級のテック企業各社は、何百万人ものユーザーに向けて積極的な大規模導入を推進していたのです。技術的な熱狂とセキュリティの現実との衝突が、これほどまでに浮き彫りになったことはありません。

Web3 の AI エージェント問題:MCP が仮想通貨ウォレットと出会うとき

OpenClaw の危機は、Web3 ビルダーがもはや無視できない深刻な問題を露呈しました: AI エージェントによるオンチェーン資産の管理が増加している一方で、そのセキュリティ モデルは危険なほど未熟である という点です。

Model Context Protocol (MCP) — AI エージェントを外部システムに接続するための新しい標準 — は、AI がブロックチェーンと対話するためのゲートウェイになりつつあります。MCP サーバーは、フルスタックの Web3 への統合 API ゲートウェイとして機能し、AI エージェントがブロックチェーン データの読み取り、トランザクションの準備、およびオンチェーン アクションの実行を可能にします。

現在、ほとんどの仮想通貨 MCP サーバーは 秘密鍵 による設定を必要としており、これが単一障害点(SPOF)となっています。もし AI エージェントが侵害された場合 — 数万の OpenClaw インスタンスがそうであったように — 攻撃者は資金に直接アクセスできてしまいます。

現在、2 つの競合するセキュリティ モデルが登場しています:

1. 署名の委任(ユーザー制御)

AI エージェントがトランザクションを準備しますが、署名に関する独占的な制御権はユーザーが保持します。秘密鍵が ユーザーのデバイスから離れることはありません。これは最も安全なアプローチですが、エージェントの自律性は制限されます。

2. エージェント制御のアロワンス

エージェントは独自の鍵を持ち、ユーザーに代わって支出するためのアロワンス(許容額)を受け取ります。秘密鍵はエージェント ホストによって安全に管理され、支出額には上限が設定されます。これにより自律的な運用が可能になりますが、ホストのセキュリティに対する信頼が必要になります。

どちらのモデルもまだ広く普及していません。ほとんどの仮想通貨 MCP 実装は、依然として「エージェントに秘密鍵を渡す」という危険な手法を使用しており、これはまさに ClawHavoc 攻撃者が予期していたシナリオそのものです。

2026 年の予測では、仮想通貨ウォレットの 60% がエージェント型 AI を使用して ポートフォリオの管理、トランザクションの追跡、セキュリティの向上を行うようになるとされています。業界では、これらのやり取りを保護するために、マルチパーティ計算 (MPC)、アカウント抽象化 (Account Abstraction)、生体認証、および暗号化されたローカル ストレージの実装が進められています。ERC-8004 (Ethereum Foundation、MetaMask、Google が共同主導) などの標準規格は、オンチェーンでの AI エージェントに対する検証可能なアイデンティティと信用履歴の作成を試みています。

しかし、OpenClaw はこれらのセーフガードがまだ整っていないことを証明しました。そして攻撃者はすでにその隙を突いています。

NVIDIA によるエンタープライズ向けの回答:GTC 2026 での NemoClaw

OpenClaw のセキュリティ危機が拡大する中、NVIDIA は好機を見出しました。3 月中旬の GTC 2026 において、同社は NemoClaw を発表しました。これは、当初からセキュリティとプライバシーを考慮して設計された、エンタープライズ オートメーション 専用のオープンソース AI エージェント プラットフォームです。

コンシューマー優先でどこにでもインストールできる OpenClaw のアプローチとは異なり、NemoClaw は以下のような特徴で企業をターゲットにしています:

  • 組み込みのセキュリティおよびプライバシー ツール:OpenClaw を悩ませた脆弱性に対処
  • エンタープライズ認証とアクセス制御:デフォルト設定が「インターネットに公開」されていることによる惨事を防止
  • マルチプラットフォーム サポート:NVIDIA の NeMo、Nemotron、Cosmos AI フレームワークを活用し、NVIDIA チップ以外でも動作
  • パートナー エコシステム:Salesforce、Google、Cisco、Adobe、CrowdStrike との提携に向けた協議

このタイミングはこれ以上ないほど戦略的です。OpenClaw の「ロブスター熱(Lobster Fever)」がコンシューマー向け AI エージェントの危険性を露呈させた直後、NVIDIA は NemoClaw を安全なエンタープライズ グレードの代替案として位置づけ、ビジネス AI エージェント市場において OpenAI に挑戦しようとしています。

AI 統合インフラを構築している Web3 企業にとって、NemoClaw は OpenClaw が露呈させたセキュリティ問題に対する潜在的な解決策となります。つまり、高価値のブロックチェーン資産と安全に対話できる、専門的に管理・監査・保護された AI エージェントのデプロイメントです。

Web3 が必要としていた警鐘

OpenClaw の危機は、単なる AI セキュリティの話ではありません。それは ブロックチェーン インフラストラクチャの物語 です。

以下の影響を考慮してください:

  • 135,000 以上の公開された AI エージェント が仮想通貨ウォレットにアクセスできる可能性があった
  • 1,184 個の悪意のあるプラグイン が特に仮想通貨ユーザーを標的にしていた
  • 中国の 5 大テック企業 が適切なセキュリティ レビューなしに数百万のインストールを推進した
  • 仮想通貨ウォレットの 60% が年末までに AI エージェントを使用すると予測されている
  • AI とブロックチェーンの相互作用に関する 広く採用されたセキュリティ標準がまだ存在しない

これは Web3 における「サプライチェーン セキュリティの転換点」であり、伝統的金融(TradFi)における 2020 年の SolarWinds 攻撃や、仮想通貨における 2016 年の DAO ハックに匹敵します。これは根本的な真実を浮き彫りにしています: ブロックチェーン インフラがより強力で自動化されるにつれ、攻撃対象領域は指数関数的に拡大する ということです。

業界の対応によって、AI エージェントが Web3 機能への安全なゲートウェイになるか、あるいはこの分野で史上最大の脆弱性になるかが決まります。署名委任モデル、エージェント アロワンス、MPC ソリューション、アカウント抽象化の間の選択は、単なる技術的な問題ではなく、存亡に関わる問題です。

Web3 ビルダーが今すべきこと

Web3 で構築を行い、AI エージェントを統合している(または計画している)場合、以下のチェックリストを確認してください:

  1. MCP サーバーのセキュリティを監査する:AI エージェントのアクセスに秘密鍵を必要としている場合、ClawHavoc 型の攻撃ベクトルを作成していることになります。
  2. 署名の委任を実装する:AI がトランザクションを準備する場合でも、ユーザーが常にトランザクション署名に対する独占的な制御権を保持する必要があります。
  3. 自律型エージェントにはアロワンス ベースのモデルを使用する:エージェントが独立して行動する必要がある場合は、厳格な支出制限を設けた専用の鍵を割り当ててください。
  4. デフォルトのネットワーク設定で AI エージェントをインストールしない:エンタープライズ グレードの認証がない限り、常にローカルホスト (127.0.0.1) にバインドしてください。
  5. AI エージェントのマーケットプレイスをアプリストアのように扱う:サードパーティのスキルを信頼する前に、コード署名、セキュリティ監査、およびレピュテーション システムを要求してください。
  6. AI エージェントのリスクについてユーザーを教育する:ほとんどの仮想通貨ユーザーは、AI エージェントを利用することが、誰かにコンピュータへのルート アクセス権を与えることと機能的に同等であることを理解していません。

OpenClaw の危機は、「デフォルトでのセキュリティ(Security-by-default)」が機能よりも重要である ことを教えてくれました。AI エージェントをデプロイする競争が、それらを保護する競争を追い越してはなりません。

AI エージェントに接続するブロックチェーン インフラストラクチャを構築していますか? BlockEden.xyz は、40 以上のブロックチェーンに対して、高度な統合のために設計されたセキュリティ第一のアーキテクチャを備えたエンタープライズ グレードの API インフラストラクチャを提供しています。当社のサービスを探索して、永続的な基盤の上に構築を開始してください。

情報源:

Share on Twitter