攻撃者は転送されたメールに1つの命令を埋め込む。OpenClawのエージェントは普通のタスクの一部としてそのメールを要約する。隠された命令はエージェントに外部エンドポイントへ認証情報を転送するよう指示する。エージェントはそれに従う — 正規のAPI呼び出しを介し、自身のOAuthトークンを使用して。
ファイアウォールはHTTP 200を記録する。EDRは正常なプロセスを記録する。署名は一つも発動しない。セキュリティスタックが理解するあらゆる定義において、何も問題は起きなかった。 それが問題だ。6つの独立したセキュリティチームが14日間で6つのOpenClaw防御ツールを出荷した。3つの攻撃表面はそれら全てを生き残った。
露出の様相は、ほとんどのセキュリティチームが知っている以上に悪化している。 Token Security は、エンタープライズ顧客の22%が従業員がITの承認なしにOpenClawを実行していると指摘し、 Bitsight は2週間で3万件を超える公開露出事例を数え上げ、約1,000件から増加した。 SnykのToxicSkills監査 は、さらに別の次元を加える。ClawHubの全スキルの36%にセキュリティ上の欠陥が含まれている。
OpenClawの創設者であり、現在は OpenClawプロジェクトのセキュリティアドバイザーを務めるDvuln の Jamieson O’Reilly は、内部からの修正を最も強く推進してきた研究者の一人だった。露出した事例における資格情報流出の研究は、コミュニティが受け取った最も早い警告の一つだった。その後、彼は創設者 Peter Steinberger と直接協力して二重層の悪意あるスキル検出を出荷し、現在は 機能仕様提案 をagentskills標準団体を通じて推進している。
彼はVentureBeatに対して、チームはセキュリティギャップを現実的に認識していると語った。「最初からできるだけ安全になるように設計されたものではなかった」。起源を考えると理解できることであり、我々は言い訳なしでそれを引き受けている。」
それらはいずれも、最も重要な3つのギャップを埋めるものではない。
あなたのスタックには見えない3つの攻撃表面
最初は実行時意味論的情報漏洩です。攻撃は意味の中に悪意のある振る舞いをエンコードしており、二進パターンではなく、これは現行の防御スタックにはまさに見えないものです。
Palo Alto Networks はOpenClawをエージェント型アプリケーションのOWASP Top 10の全カテゴリにマッピングし、サイモン・ウィリソンが呼ぶ「致命的三拍子」は、単一のプロセス内における「プライベートデータへのアクセス」「信頼できないコンテンツの露出」「外部通信機能」の三つを指すと指摘した。EDRはプロセスの振る舞いを監視する。エージェントの振る舞いは通常に見える。認証情報は実在し、API呼び出しは正規のものなので、EDRはそれを“正規の作業を行う認証済みユーザー”として読み取る。現在の防御エコシステムには、そのアクセスでエージェントが何をする決定をしたのか、あるいはなぜなのかを追跡するものはない。
The second is cross-agent context leakage. When multiple agents or skills share session context, a prompt injection in one channel poisons decisions across the entire chain. Giskard researchers demonstrated this in January 2026, showing that agents silently appended attacker-controlled instructions to their own workspace files and waited for commands from external servers. The injected prompt becomes a sleeper payload. Palo Alto Networks researchers Sailesh Mishra and Sean P. Morgan warned that persistent memory turns these attacks into stateful, delayed-execution chains. A malicious instruction hidden inside a forwarded message sits in the agent’s context weeks later, activating during an unrelated task.
O’Reilly identified cross-agent context leakage as the hardest of these gaps to close. “This one is especially difficult because it is so tightly bound to prompt injection, a systemic vulnerability that is far bigger than OpenClaw and affects every LLM-powered agent system in the industry,” he told VentureBeat. “When context flows unchecked between agents and skills, a single injected prompt can poison or hijack behavior across the entire chain.” No tool in the current ecosystem provides cross-agent context isolation. IronClaw sandboxes individual skill execution. ClawSec monitors file integrity. Neither tracks how context propagates between agents in the same workflow.
The third is agent-to-agent trust chains with zero mutual authentication. When OpenClaw agents delegate tasks to other agents or external MCP servers, no identity verification exists between them. A compromised agent in a multi-agent workflow inherits the trust of every agent it communicates with. Compromise one through prompt injection, and it can issue instructions to every agent in the chain using trust relationships that the legitimate agent already built.
Microsoft’s security team published guidance in February calling OpenClaw untrusted code execution with persistent credentials, noting the runtime ingests untrusted text, downloads and executes skills from external sources, and performs actions using whatever credentials it holds. Kaspersky’s enterprise risk assessment added that even agents on personal devices threaten organizational security because those devices store VPN configs, browser tokens, and credentials for corporate services. The Moltbook social network for OpenClaw agents already demonstrated the spillover risk: Wiz researchers found a misconfigured database that exposed 1.5 million API authentication tokens and 35,000 email addresses.
What 14 days of emergency patching actually closed
The defense ecosystem split into three approaches. Two tools harden OpenClaw in place. ClawSec, from Prompt Security (a SentinelOne company), wraps agents in continuous verification, monitoring critical files for drift and enforcing zero-trust egress by default. OpenClaw’s VirusTotal integration, shipped jointly by Steinberger, O’Reilly, and VirusTotal’s Bernardo Quintero, scans every published ClawHub skill and blocks known malicious packages.
Two tools are full architectural rewrites. IronClaw, NEAR AI’s Rust reimplementation, runs all untrusted tools inside WebAssembly sandboxes where tool code starts with zero permissions and must explicitly request network, filesystem, or API access. Credentials get injected at the host boundary and never touch agent code, with built-in leak detection scanning requests and responses. Carapace, an independent open-source project, inverts every dangerous OpenClaw default with fail-closed authentication and OS-level subprocess sandboxing.
Two tools focus on scanning and auditability: Cisco's open-source scanner combines static, behavioral, and LLM semantic analysis, while NanoClaw reduces the entire codebase to roughly 500 lines of TypeScript, running each session in an isolated Docker container.
O’Reilly put the supply chain failure in direct terms. “Right now, the industry basically created a brand-new executable format written in plain human language and forgot every control that should come with it,” he said. His response has been hands-on. He shipped the VirusTotal integration before skills.sh, a much larger repository, adopted a similar pattern. Koi Security’s audit validates the urgency: 341 malicious skills found in early February grew to 824 out of 10,700 on ClawHub by mid-month, with the ClawHavoc campaign planting the Atomic Stealer macOS infostealer inside skills disguised as cryptocurrency trading tools, harvesting crypto wallets, SSH credentials, and browser passwords.
OpenClaw Security Defense Evaluation Matrix
次元 | ClawSec | VirusTotal統合 | IronClaw | Carapace | NanoClaw | Cisco Scanner |
検出 | エージェントのみ | ClawHubのみ | なし | mDNSスキャン | なし | なし |
実行時保護 | 設定のドリフト | なし | WASMサンドボックス | OSサンドボックス + プロンプトガード | コンテナ分離 | なし |
サプライチェーン | チェックサム検証 | 署名スキャン | 機能付与 | Ed25519署名 | 手動監査(約500 LOC) | 静的 + LLM + 行動分析 |
認証情報の分離 | なし | なし | WASM境界の注入 | OSキーチェン + AES-256-GCM | マウント制限付きディレクトリ | なし |
監査可能性 | ドリフトログ | スキャン結果 | 権限付与ログ | Prometheus + 監査ログ | 合計500行 | スキャンレポート |
セマンティック・モニタリング
なし
なし
なし
なし
なし
なし
出典: 公表された文書とセキュリティ監査に基づく VentureBeat の分析、2026年3月。
スキルを実行ファイルのように扱う能力仕様
O’Reilly は、スキル仕様標準の更新を、Anthropic と Vercel を主導とする agentskills のメンテナーに提出しました。現在活発に議論されています。提案は、実行前に各スキルが明示的でユーザーに見える能力を宣言することを要求します。モバイルアプリの権限マニフェストを想像してください。彼は、この提案がセキュリティコミュニティから早期に強いフィードバックを得ていると指摘しました。なぜなら、スキルを実行ファイルそのものとして初めて扱うようになったからです。
“他の2つのギャップは、より良い分離プリミティブとランタイムガードレールで意味あるほど強化できるが、信頼されていないマルチエージェントのメモリと prompting の取り扱いをどうするかという深いアーキテクチャ的変更が必要で、コンテント漏洩を真に閉じるには大掛かりな変更が必要です。” O’Reilly は述べました。「新しい capabilities spec は、これらの課題を事前に解決するための最初の実質的な一歩であり、後から応急処置をつけるのではなく、積極的に解決へ向かう道です。」
月曜日の朝にすべきこと
OpenClaw がすでに環境にあると想定してください。22% のシャドー配備率は下限です。これらの6つの手順で、閉じられるものを閉じ、閉じられないものを文書化します。
実行中のものを把握する。 ポート 18789 の WebSocket トラフィックとポート 5353 の mDNS ブロードキャストをスキャンします。新しい App ID 登録、OAuth 同意イベント、Node.js の User-Agent 文字列を企業認証ログで監視します。v2026.2.25 より前のバージョンを実行している任意のインスタンスは、ClawJacked のリモート乗っ取りの欠陥に脆弱です。
分離実行を義務付ける。 生産インフラストラクチャに接続されたデバイス上でエージェントを実行させません。スコープ付き資格情報と明示的なツールホワイトリストを備えたコンテナベースのデプロイを必須とします。
ClawSec をすべてのエージェントインスタンスに展開し、ClawHub のすべてのスキルを VirusTotal と Cisco のオープンソーススキャナーで検査する。 インストール前に実行します。どちらも無料です。スキルは第三者の実行ファイルとして扱います。なぜなら、それらはまさにそうだからです。
機微なエージェント操作には人間の介在承認を求める。 OpenClaw の実行承認設定は 3 つのモードをサポートします: security、ask、allowlist。機微なツールを「Ask(確認を求める)」に設定して、エージェントがシェルコマンドの実行、外部 API への書き込み、またはワークスペース外のファイルの変更を行う前に一時停止して確認を求めるようにします。認証情報に触れる、設定を変更する、外部エンドポイントへデータを送信するようなアクションはすべて停止して、人間の承認を待つべきです。
3つの生存ギャップをリスク登録と照合してマップする。 組織が各ギャップを受け入れる、緩和する、またはブロックするかを文書化します:実行時の意味論的データ流出、エージェント間のコンテキスト漏洩、エージェント間の信頼チェーン。
次の取締役会に評価表を持ち込む。 AI 実験としてではなく、既存の DLP と IAM 投資の重要な迂回策として位置づけます。従うすべてのエージェントAIプラットフォームは、同じ防御サイクルに直面するでしょう。そのフレームワークは、今後2年間にチームが評価するすべてのエージェントツールへ適用されます。
アプリケーションとエンドポイントのために構築したセキュリティスタックは、悪意のあるコードを検知します。しかし、正規の API 呼び出しを介して悪意の指示に従うエージェントを検知することはできません。ここにこの3つのギャップが存在します。
