「あなたのAI?もう私のAIですよ。」この一言は、Cato Networks の脅威インテリジェンス担当VPである Etay Maor が、RSAC 2026 におけるVentureBeat の独占インタビューで語ったものだ――そして、それは、OpenClaw のインスタンスが、最終的に BreachForums で売りに出された、英国のあるCEOに実際に起きたことをそのまま言い表している。Maor の主張は、業界がAIエージェントに、人間の従業員には決して与えないような種類の自律性を渡してしまい、その過程でゼロトラスト、最小権限、「侵害前提」を捨て去ってしまったというものだ。
証拠は、Maor のインタビューの3週間前に BreachForums に到着した。2月22日、「fluffyduck」というハンドルを使う脅威アクターが、CEOのPCへのルートシェルアクセスを、Monero または Litecoin で25,000ドルという価格で宣伝する出品を投稿した。売り文句はシェルそのものではない。そうではなく、CEOの OpenClaw AI パーソナルアシスタントだった。購入者は、CEOがAIに行ったあらゆる会話、会社の完全な本番データベース、Telegram のボットトークン、Trading 212 のAPIキー、そしてCEOがアシスタントに開示した家族や財務に関する個人情報をすべて入手できるという。脅威アクターは、CEOがOpenClawに対してリアルタイムで積極的にやり取りしていると指摘しており、そのため出品は静的なデータ投棄ではなく“稼働中のインテリジェンスの配信”になっていた。
Cato CTRL のシニアセキュリティリサーチャーである Vitaly Simonovich が2月25日に出品を記録した。CEO の OpenClaw インスタンスは、暗号化なしで、プレーンテキストの Markdown ファイルとして ~/.openclaw/workspace/ 配下にすべて保存していた。脅威アクターは何かを持ち出す必要すらなかった。CEO がすでにそれを組み上げてしまっていた。セキュリティチームが侵害を発見した際、ネイティブのエンタープライズ向けキルスイッチがなく、管理コンソールもなく、組織内で他にいくつのインスタンスが動いているのかを棚卸しする方法もなかった。
OpenClaw は、ホストマシンのファイルシステム、ネットワーク接続、ブラウザセッション、インストール済みアプリケーションに直接アクセスできる形でローカルに動作する。これまでの範囲は、その“立ち上がりの速さ(稼働の広がり)”は追えているが、マッピングできていないのは脅威面(threat surface)だ。RSAC 2026 で対応を出した4社のベンダーは、企業が最も必要としている1つの対策――ネイティブのキルスイッチ――をまだ提示できていない。
数で見る脅威面
指標 | 数値 | 出典 |
インターネットに面したインスタンス | 約500,000(3月24日のライブチェック) | Etay Maor、Cato Networks(独占RSAC 2026インタビュー) |
セキュリティ上のリスクを伴う露出インスタンス | スキャン期間中に30,000+件観測 | |
既知のRCEにより悪用可能 | 15,200インスタンス | |
高深刻度のCVE | 3件(最高CVSS: 8.8) | |
ClawHub上の悪意あるスキル | Koi監査で341(335はClawHavoc由来);2月中旬までに824 | |
重大な欠陥を含むClawHubスキル | 分析済み3,984件のうち13.4% | |
露出したAPIトークン(Moltbook) | 150万 |
Maor は RSAC 2026 の独占VentureBeat インタビュー中に、Censys のライブチェックを実施した。「最初の1週間で、約6,300のインスタンスがありました。先週、確認しました。230,000インスタンスです。さあ今チェックしてみましょう……ほぼ50万です。1週間でほぼ倍に増えています」と Maor は語った。攻撃面を定義するのは、深刻度の高いCVEが3つだ。CVE-2026-24763(CVSS 8.8、DockerのPATH処理によるコマンドインジェクション)、CVE-2026-25157(CVSS 7.7、OSコマンドインジェクション)、そして CVE-2026-25253(CVSS 8.8、完全なゲートウェイ侵害へのトークンの流出)。3つすべてのCVEはパッチ済みだが、OpenClaw にはエンタープライズ向けの管理プレーンがなく、集中型のパッチ適用メカニズムもなく、ファーム全体(fleet-wide)向けのキルスイッチもない。個々の管理者が各インスタンスを手作業で更新する必要があり、ほとんどの管理者は更新できていない。
防御側のテレメトリも同様に憂慮すべき状況だ。CrowdStrike の Falcon センサーは、顧客の配備環境全体で すでに1,800を超える個別のAIアプリケーションを検出している――ChatGPT から Copilot、OpenClaw まで含まれ、エンタープライズのエンドポイント上で約1億6000万ものユニークなインスタンスを生成している。ClawHub のマーケットプレイスを通じて配布される悪意あるスキルである ClawHavoc は、OWASP Agentic Skills Top 10 における主要な事例研究となった。CrowdStrike CEO の George Kurtz は、これを RSAC 2026 の基調講演で、AIエージェントのエコシステムに対する最初の主要なサプライチェーン攻撃だと位置づけて警告した。
AIエージェントにルートアクセスが与えられた。セキュリティには何もなかった。
Maor は、RSAC 2026 のインタビュー中に OODA ループ(observe=観察、orient=状況判断、decide=判断、act=行動)を通して可視性の失敗を組み立てた。大半の組織は最初のステップに失敗している。つまり、セキュリティチームは自社ネットワーク上でどのAIツールが動いているか見えないのだ。その結果、従業員がこっそり持ち込む生産性ツールは、攻撃者が悪用するシャドーAIになってしまう。BreachForums の出品は、到達した最終状態を証明した。CEO の OpenClaw インスタンスは、SSO セッション、認証情報ストア、そして通信履歴を1か所に集約することで、集中型のインテリジェンスハブになった。「CEOのアシスタントは、このコンピュータへのアクセスを買えばあなたのアシスタントになります」と Maor は VentureBeat に語った。「それは攻撃者のためのアシスタントです。」
ゴーストエージェントが露出を拡大する。組織はAIツールを導入し、パイロットを実施し、関心が薄れると次に進む――その間、資格情報を保持したままエージェントが動き続けてしまう。「私たちは、エージェントに対するHRのような視点が必要です。オンボーディング、監視、オフボーディング。ビジネス上の正当な理由がなければ?削除です」と Maor は VentureBeat に語った。「そうすれば、ネットワーク上にゴーストエージェントは残りません。なぜなら、すでにそれが起きているからです。」
CiscoはOpenClawのキルスイッチに向けて動いた
Cisco の社長兼チーフプロダクトオフィサーである Jeetu Patel は、RSAC 2026 の独占VentureBeat インタビューで、問題の重大性を次のように語った。「私は彼らを10代の若者のように捉えています。彼らは非常に賢いのに、結果に対する恐れがないのです」と Patel はAIエージェントについて述べた。「エージェントにタスクを委任することと、エージェントを“信頼して委任する”ことの違いは……前者は倒産につながります。後者は市場の支配につながります。」
CiscoはRSAC 2026でOpenClaw向けに、無料のオープンソースセキュリティツールを3つ発表しました。 DefenseClawは、Skills Scanner、MCP Scanner、AI BoM、そしてCodeGuardを1つのオープンソースのフレームワークにパッケージ化し、NVIDIAがRSACの前週のGTCで公開したNVIDIAのOpenShellランタイム上で動作します。パテル氏はVentureBeatに対し、「Open Shellコンテナ内で実際にエージェントを有効化するたびに、Defense Clawを通じて私たちが構築してきたすべてのセキュリティサービスを、自動的にインスタンス化できるようになりました」と述べています。 AI Defense Explorer Editionは、Ciscoのアルゴリズム型レッドチーミングエンジンの無料・セルフサービス版であり、200を超えるリスクのサブカテゴリにわたって、あらゆるAIモデルやエージェントをプロンプトインジェクションやジャイルブレイク(脱獄)についてテストします。 LLM Security Leaderboardは、性能ベンチマークではなく敵対的なレジリエンス(耐攻撃性)によって基盤モデルをランキングします。Ciscoはさらに、Duo Agentic Identityを出荷しました。これは、時間制限付きの権限を持つアイデンティティオブジェクトとしてエージェントを登録するためのものです。Identity Intelligenceはネットワーク監視によってシャドーエージェントを発見し、Agent Runtime SDKはビルド時にポリシー施行を埋め込めるようにします。
Palo Altoは、エージェント型エンドポイントを独自のセキュリティカテゴリにした
Palo Alto NetworksのCEOであるニケシュ・アローラ氏は、VentureBeatとの3月18日の独占的な事前RSAブリーフィングで、OpenClawクラスのツールが、規制されておらずセキュリティで保護されていないマーケットプレイスを通じて稼働する新たなサプライチェーンを生み出すと特徴づけました。 Koiは初期監査で341件の悪意あるスキルを発見し、レジストリの拡大によりその総数は824件に増えました。 Snykは分析されたスキルの13.4%に致命的なセキュリティ上の欠陥が含まれていることを見つけました。Palo Alto Networksは、稼働の前にすべてのエージェントをログに記録することを求める新しいエージェント型レジストリを軸にPrisma AIRS 3.0を構築しました。ここでは、認証情報の検証、MCPゲートウェイの通信制御、エージェントのレッドチーミング、そしてメモリポイズニング(メモリ汚染)のためのランタイム監視が行われます。予定されているKoiの買収は、特にエージェント型エンドポイントに対するサプライチェーンの可視性を追加します。
Cato CTRLが敵対的な証明を提供した
Cato Networksの脅威インテリジェンス部門であるCato CTRLはRSAC 2026で2つのセッションを行いました。別途公開された 2026 Cato CTRL Threat Reportには、アトラシアンのMCPおよびJira Service Managementを標的とする「Living Off AI(AIで生きる)」という概念実証(PoC)の攻撃が含まれています。Maorの研究は、ベンダー製品の発表だけでは単独では提供できない独立した敵対的検証をもたらします。プラットフォームベンダーは、許可されたエージェントのためのガバナンスを構築しています。Cato CTRLは、CEOのラップトップにいる許可されていないエージェントがダークウェブで売られたときに何が起きるのかを記録しました。
月曜の朝のアクションリスト
ベンダーの構成スタックに関係なく、すぐに適用すべき4つのコントロールがあります。OpenClawをlocalhostにのみバインドし、外部ポートの露出をブロックすること。MDMを通じてアプリケーションの許可リスト化を強制し、不正なインストールを防ぐこと。OpenClawが動作してきたマシン上のすべての認証情報をローテーションすること。そして、AIエージェントが触れた可能性のあるあらゆるアカウントに対して最小権限のアクセスを適用することです。
インストール基盤を把握する。 CrowdStrikeのFalconセンサー、CatoのSASEプラットフォーム、そしてCiscoのIdentity Intelligenceは、すべてシャドーAIを検知します。プレミアムなツールを持たないチームは、ネイティブのEDRまたはMDMのファイル検索ポリシーを使って、エンドポイントに対し~/.openclaw/ ディレクトリを問い合わせてください。そもそも企業にエンドポイント可視性がまったくない場合は、企業のIPレンジに対してShodanとCensysのクエリを実行します。
パッチ適用か隔離する。 発見した各インスタンスを、CVE-2026-24763、CVE-2026-25157、CVE-2026-25253と照合します。パッチ適用できないインスタンスはネットワーク的に隔離してください。大規模(フリート全体)向けのパッチ適用メカニズムはありません。
スキルのインストールを監査する。 インストールされているスキルを、CiscoのSkills Scannerまたは Snyk、Koiの調査と照合します。検証できないソース由来のスキルは、すべて直ちに削除するべきです。
DLPおよびZTNAのコントロールを強制する。 CatoのZTNAコントロールは、承認されていないAIアプリケーションを制限します。Cisco Secure Access SSEは、MCPツール呼び出しに対してポリシーを強制します。Palo AltoのPrisma Access Browserコントロールは、ブラウザ層でデータフローを制御します。
ゴーストエージェントを排除する。 稼働しているあらゆるAIエージェントのレジストリを構築します。事業上の正当化根拠、人間の所有者、保持している認証情報、アクセスしたシステムを文書化してください。正当化根拠がないエージェントの認証情報を無効化します。毎週繰り返してください。
承認された用途にDefenseClawを導入する。 NVIDIAのOpenShellランタイム上でOpenClawを実行し、Ciscoの DefenseClaw を使ってスキルをスキャンし、MCPサーバーを検証し、ランタイムの挙動を自動的に計測(インストゥルメント)します。
導入前にレッドチームを行う。 Cisco AI Defense Explorer Edition(無料)またはPrisma AIRS 3.0におけるPalo Alto Networksのエージェントのレッドチーミングを使います。モデルだけでなく、ワークフローをテストしてください。
OWASP Agentic Skills Top 10は、ClawHavocを主要なケーススタディとして用いて公開されたもので、これらのリスクを評価するための標準グレードのフレームワークを提供します。RSAC 2026では4社のベンダーが対応策を出荷しましたが、承認されていないOpenClawの導入に対するネイティブなエンタープライズ向けキルスイッチを備えているベンダーはどれもありません。そのようなものが存在するまで、上記の月曜の朝のアクションリストは、それに最も近いものです。
