OpenClawの危険性とは？主要リスクと安全な運用方法をわかりやすく整理

OpenClawは正しく設定すれば個人利用で有用なAIエージェントですが、設定を誤ると深刻なセキュリティ被害につながるリスクがあるツールです。「危険だから使うな」ではなく、「何が危険で、どう設定すればリスクを下げられるか」を理解した上で判断することが重要です。

本記事では、OpenClawが危険と言われる理由を事実ベースで整理し、個人利用・業務利用それぞれのリスクの違い、安全に運用するための具体的な設定手順、そしてどんな人には向かないかを解説します。OpenClawの基本的な特徴や機能については、OpenClawとは？を先にお読みください。

この記事でわかること:

• OpenClawは本当に危険なのか（実際のリスクと過剰な不安の整理）
• 主要リスク4つの具体的な内容と影響範囲
• 個人利用と業務利用でリスクがどう変わるか
• 安全に運用するための設定手順と推奨事項
• セキュリティ観点で向いている人・向いていない人

OpenClawは本当に危険なのか？結論

結論から言えば、OpenClawには実際のセキュリティリスクが複数存在します。 ただし、すべてのリスクが全ユーザーに等しく当てはまるわけではありません。

リスクの実態を正しく把握するために、「実際に確認されたリスク」と「過剰に広まっている不安」を分けて整理します。

実際に確認されたリスク（事実）

• CVE-2026-25253（RCE脆弱性）: 悪意あるリンクのクリック1回でリモートコード実行が可能だった深刻な脆弱性（CVSSスコア8.8）。2026年1月29日のアップデートで修正済み
• ClawHub悪意あるスキル: セキュリティ企業Koi Securityの監査で、2,857スキル中341件が悪意あるスキルと判定（2026年2月時点）
• プロンプトインジェクション: 公式セキュリティポリシーで「完全な防御は保証されていない」と明記されている設計上の制限
• マルチテナント非対応: 公式ドキュメントで「マルチテナント環境を想定していない」と明記

過剰に広まっている不安（誤解）

• 「OpenClawを入れるだけでハッキングされる」: 脆弱性はバージョン2026.1.29で修正済み。最新版を使い、基本的なセキュリティ設定を行えば、インストールしただけで被害に遭うことはない
• 「データがすべて外部に送信される」: OpenClaw本体はローカルで動作する。ただし外部AIモデルのAPIを使う場合はプロンプトがAPIプロバイダーに送信される点は事実
• 「オープンソースだから危険」: ソースコードが公開されていることはリスクにも利点にもなる。実際にCVE-2026-25253は公開コードのレビューから発見・修正された

なぜOpenClawは「危険」と言われるのか

OpenClawが危険と言われる背景には、AIエージェント特有の権限構造があります。

ChatGPTやClaudeは「テキストを返す」だけのツールです。一方、OpenClawはファイルの読み書き・シェルコマンドの実行・ブラウザ操作・メール/カレンダーへのアクセスなど、PCやサーバーに対する広範な操作権限を持った状態で自律的に動きます。

この「AIが実際にシステムを操作する」という設計が、従来の対話型AIにはなかったリスクを生み出しています。トレンドマイクロは、OpenClawの内部に「プライベートデータへのアクセス」「信頼できないコンテンツの処理」「外部通信の能力」という3つの能力が同居している点を構造的な問題として指摘しています。

つまり、OpenClawの危険性は「バグが多い」「品質が低い」という問題ではなく、エージェント型AIが持つ権限の広さそのものに起因する構造的なリスクです。この点はAIエージェントとはでも解説しています。

主要リスク4つの具体的な内容

リスク1: CVE-2026-25253（リモートコード実行）

この脆弱性は、OpenClawのControl UIがURLパラメータ（gatewayUrl）を検証せずに信頼していたことが原因です。攻撃者は悪意あるリンクを被害者に踏ませるだけで認証トークンを窃取し、WebSocket経由でローカルのOpenClawインスタンスに接続。ファイアウォールやlocalhost保護をバイパスして、数ミリ秒で完全なリモートコード実行を達成できました。

公開時点で40,000以上のインスタンスがインターネットに露出しており、うち63%が攻撃に脆弱だったと報告されています。

現時点での対応: バージョン2026.1.29以降にアップデートすれば、この脆弱性は修正されています。

リスク2: ClawHub悪意あるスキル（サプライチェーン攻撃）

ClawHubはOpenClaw用スキルのマーケットプレイスですが、2026年2月にセキュリティ企業Koi Securityが全スキルを監査した結果、約12%が悪意あるスキルでした。

攻撃者は暗号資産ウォレットやGoogle Workspace連携など人気ツールを偽装し、タイポスクワッティング（名前の微妙な変更）で正規スキルと見分けにくくしていました。スキルのドキュメント内に「前提条件のインストール」としてマルウェア実行を促す手口が主流です。

現時点での対応: ClawHubからスキルを導入する際は、公式または信頼できる提供元のスキルのみを選び、インストール前にスキルのソースコードを確認することが推奨されます。

リスク3: プロンプトインジェクション

プロンプトインジェクションとは、攻撃者が巧妙に作ったメッセージを送ることで、AIの挙動を意図しない方向に操る攻撃手法です。

OpenClawの公式セキュリティポリシーでは、プロンプトインジェクションへの完全な防御は現時点で保証されていないと明記されています。これはOpenClaw固有の問題ではなく、現在のLLM技術全般に共通する未解決課題です。

ただしOpenClawの場合、AIがシステム操作権限を持っているため、プロンプトインジェクションが成功した場合の被害範囲が対話型AIよりも大きくなります。外部からのメッセージを受け付ける運用（DM受信をオープンにしている場合など）では、このリスクが特に高まります。

現時点での対応: ツールポリシーのallow/denyリスト、exec承認の有効化、チャネルのallowlist設定で攻撃の影響範囲を制限できます。

リスク4: マルチテナント非対応

OpenClawは公式に「マルチテナント環境を想定していない」と明記しています。つまり、1台のサーバーで複数ユーザーがOpenClawを共有する運用は想定外です。

この制限を無視して共有サーバーで動かすと、他のユーザーの操作やデータにアクセスされるリスクが生じます。

現時点での対応: 複数人で使う場合は、ユーザーごとにOS/ホスト単位で完全に環境を分離する必要があります。Microsoftのセキュリティブログでは、専用VM・非特権アカウント・非機密データのみでの運用を推奨しています。

個人利用と業務利用でリスクはどう変わるか

個人利用の場合: 最新バージョンへのアップデート、基本的な権限設定、公式スキルのみの利用を守れば、リスクは管理可能な範囲です。

業務利用の場合: Gartnerが「受け入れがたいサイバーセキュリティリスクを伴う」と警告しているとおり、組織として十分なセキュリティ評価と管理体制なしでの導入は推奨されません。特に機密データを扱う環境では、専用VM・非特権アカウント・ネットワーク分離などの追加対策が必須です。

安全に使うための運用ポイント

最低限やるべき設定（全ユーザー共通）

1. 最新バージョンへのアップデート: 現時点の最新安定版は2026.3.24（2026年3月25日リリース）。セキュリティパッチは即時適用する
2. gateway.bindをloopbackに設定: ゲートウェイを外部ネットワークに公開しない
3. プロフィール選択で権限を最小化: fullではなく、用途に応じてcoding・messaging・minimalを選ぶ
4. ゲートウェイトークンの定期ローテーション: 認証情報を定期的に更新する
5. ファイルパーミッションの設定: ~/.openclaw/を700、設定ファイルを600に設定

推奨設定（セキュリティを重視する場合）

• メインPCでは動かさない: 専用のVPSやMac miniなど、分離した環境で運用する
• rootユーザーで実行しない: 非特権ユーザーで実行し、権限昇格コマンド（sudo等）をブロックリストに追加
• Docker等のサンドボックスで実行: コンテナ内で動かすことで、ホストOSへの影響を制限
• DM受信を制限: dmPolicyをペアリング/allowlistに設定し、不特定多数からのメッセージを受け付けない
• ツールのallow/denyリストを設定: 必要なツールのみ許可し、破壊的コマンド（rm -rf等）をブロック
• セキュリティ監査の定期実行: openclaw security audit --deepを定期的に実行して危険な設定を検出

業務利用の場合の追加対策

• 専用VMまたは専用物理マシンでの運用
• 非機密データへのアクセスのみに限定
• スキルの導入は社内承認フローを経る
• 連携チャットアプリには多要素認証を導入
• セキュリティチームによる定期的なレビュー

セキュリティ観点での向き・不向き

OpenClawを使っても問題が少ない人

• コマンドライン操作に慣れていて、セキュリティ設定を自分で管理できるエンジニア
• 個人の趣味・学習目的で、機密データを扱わない用途
• 専用マシンを用意でき、ネットワーク分離や権限管理を行える人
• セキュリティアップデートを即時適用する運用ができる人

OpenClawを避けた方がよい人

• セキュリティ設定を自力で行えない人: セルフホスト型のため、権限管理・パッチ適用・監査はすべて自己責任
• 機密データを扱う業務で、セキュリティ評価体制がない組織: Gartnerの警告どおり、十分な管理体制なしでの業務利用は高リスク
• 共有サーバーで複数人が使いたい場合: マルチテナント非対応のため、環境分離のコストが大きい
• 「設定不要で安全に使えるAI」を求めている人: ChatGPTやClaudeのWebサービス、あるいはClaude Codeのようにベンダーがセキュリティを管理するツールの方が適している

よくある質問（FAQ）

Q1. OpenClawのCVE-2026-25253は修正されていますか？今から始めても大丈夫ですか？

バージョン2026.1.29（2026年1月29日リリース）で修正済みです。2026年3月時点の最新版（2026.3.24）を使えば、この脆弱性の影響は受けません。ただし、今後も新たな脆弱性が発見される可能性があるため、セキュリティアップデートを継続的に適用する運用が前提です。

Q2. ClawHubのスキルは全部危険ですか？

全部が危険なわけではありません。2,857スキル中341件（約12%）が悪意あるスキルと判定されました。残りの約88%は問題なしと評価されています。ただし、今後も悪意あるスキルが追加される可能性があるため、導入前にスキルの提供元・ソースコード・レビューを確認する習慣が重要です。

Q3. ローカルモデル（Ollama）を使えば外部へのデータ送信は防げますか？

AIモデルのAPI経由でのプロンプト送信は防げます。ただし、OpenClawの機能としてWeb検索やブラウザ操作を使う場合は、それらの通信は発生します。また、悪意あるスキルやプロンプトインジェクションによる外部送信は、AIモデルの選択とは別の問題です。

Q4. 企業でOpenClawを導入する場合、どのような条件が必要ですか？

Microsoftのセキュリティブログでは、専用VM・非特権アカウント・非機密データへのアクセスのみという条件での評価を推奨しています。Gartnerは「受け入れがたいサイバーセキュリティリスク」と警告しており、現時点では本番環境の機密データに接続する運用は推奨されません。セキュリティチームによる十分な評価が前提です。

Q5. OpenClawとClaude Codeでは、セキュリティ面でどちらが安全ですか？

セキュリティ管理の主体が異なります。Claude CodeはAnthropicがセキュリティを管理するクローズドなツールで、ユーザー側の設定負担が小さくなります。一方OpenClawはセルフホスト型で、セキュリティ設定はすべてユーザーの責任です。「セキュリティ設定を自分で管理したくない・できない」場合はClaude Codeの方が適しています。詳しくはOpenClaw vs Claude Codeを参照してください。

まとめ

OpenClawの危険性は、「AIエージェントがシステム操作権限を持つ」という設計に起因する構造的なリスクです。

• CVE-2026-25253（RCE） は修正済みだが、最新版へのアップデートは必須
• ClawHubの悪意あるスキルは約12%に及び、スキル導入時の確認が欠かせない
• プロンプトインジェクションへの完全な防御は現時点で保証されていない
• 個人利用は基本設定を守れば管理可能なリスクレベル
• 業務利用はセキュリティ体制なしでの導入は非推奨

「危険だから使わない」という判断も、「リスクを理解した上で使う」という判断も、どちらも正しい選択です。重要なのは、リスクの実態を正確に把握した上で判断することです。

関連ページ

• OpenClawとは？できること・料金・使い方・Claude Codeとの違いをわかりやすく解説
• OpenClaw vs Claude Code 徹底比較
• AIエージェントとは？仕組み・できること・導入事例をわかりやすく解説