中国がAIエージェントOpenClawに警告を発した背景

はじめに

オーストリア人プログラマーのピーター・スタインバーガー氏が2025年11月に公開したオープンソースのAIエージェント「OpenClaw」が、世界中で爆発的に普及しています。とりわけ中国では、テンセントをはじめとする大手テック企業や地方政府が利用拡大に動き、社会現象とも言える盛り上がりを見せています。

しかし、その急拡大の裏側では深刻なセキュリティリスクが次々と明らかになっています。中国当局は2026年3月に入り、国家インターネット応急センターや国家ネットワーク安全通報センターが相次いで警告を発出しました。本記事では、OpenClawの実態とセキュリティ上の課題、そして中国政府の対応を詳しく解説します。

OpenClawとは何か——従来のAIとの違い

自律的にパソコンを操作する次世代AI

OpenClawは、チャット形式で質問に答える従来の対話型AIとは根本的に異なります。ユーザーのパソコン上で自律的に動作し、Webブラウジング、メールの送受信、ファイル操作、スクリプトの実行など、これまで人間が行っていた複雑な作業を代行できるAIエージェントです。

たとえば、旅行の手配やメールの優先順位付けと返信、商品カタログの調査から業者への連絡まで、一連の業務をAIが自動で遂行します。GitHubでは25万スターを超え、オープンソースプロジェクトとして史上最速の成長を記録しました。

中国での「ロブスター旋風」

OpenClawのロブスターをモチーフにしたブランディングから、中国では「龍蝦（ロブスター）」の愛称で親しまれています。テンセントはOpenClawを基盤にした製品群を「ロブスター特殊部隊」と名付け、人気アプリWeChat上で展開しています。

企業レベルでは、管理職が従業員にOpenClawの活用スキルを求めるケースも増えており、ビジネスの現場での浸透が急速に進んでいます。

相次いで発覚するセキュリティ脆弱性

「ClawJacked」——Webサイト閲覧だけで乗っ取り可能

2026年2月、セキュリティ企業Oasis Securityが「ClawJacked」と名付けた重大な脆弱性を発見しました。この脆弱性を悪用すると、悪意のあるWebサイトを閲覧させるだけで、ユーザーのOpenClawエージェントを完全に乗っ取ることが可能です。

攻撃の仕組みは以下のとおりです。悪意あるJavaScriptがlocalhostのOpenClawゲートウェイポートにWebSocket接続を試み、レート制限がないことを利用してパスワードを総当たりで突破します。認証に成功すると、ゲートウェイはlocalhost接続を自動承認するため、攻撃者はユーザーの許可なく信頼済みデバイスとして登録されます。

これにより、APIキーの窃取、ファイルの読み取り、コマンドの実行など、システムの完全な制御権が奪われる恐れがあります。報告後24時間以内にパッチ（バージョン2026.2.26）がリリースされましたが、すでに世界中で4万件以上の脆弱なインスタンスがインターネット上に露出していたことが判明しています。

258件の脆弱性と悪意あるプラグイン

ClawJacked以外にも、OpenClawには累計258件の脆弱性が報告されています。直近で発見された82件のうち12件は「超危険」に分類される深刻なものです。

さらに深刻なのが、プラグインエコシステムの汚染です。OpenClawのスキル配布プラットフォーム「ClawHub」に登録された3,016件のプラグインを分析したところ、336件（全体の10.8%）に悪意あるコードが含まれていたことが明らかになりました。ユーザーが便利なプラグインだと思ってインストールしたものが、実は情報窃取のツールだったというケースが現実に起きています。

中国当局の対応と規制の動き

国家レベルでの相次ぐ警告

中国政府は複数の機関を通じて段階的に警告を強化しています。2026年2月5日には工業情報化部（MIIT）が安全リスクに関する注意喚起を発出しました。3月10日には国家インターネット応急センター（CNCERT）がOpenClawのセキュリティリスクに関する公式警告を発表しています。

3月13日から14日にかけて、国家ネットワーク安全通報センターがさらに踏み込んだ警告を発出しました。全世界でアクティブなOpenClawのインターネット資産は20万個以上に達し、中国国内だけでも約2万3,000個が確認されています。これらは北京、上海、広東省に集中しているとのことです。

国有企業・政府機関での利用制限

中国の国有銀行や政府機関は、オフィスのコンピューターでのOpenClaw利用を制限する措置を講じています。情報漏洩や不正利用のリスクが高いと判断されたためです。

具体的な懸念事項として、プロンプトインジェクション攻撃による機密情報の漏洩、AIの誤操作によるメールや重要データの削除、悪意あるプラグインを通じた遠隔操作が挙げられています。

サイバー攻撃集団による悪用も確認

中国のサイバーセキュリティ企業ThreatBookは2026年3月12日、OpenClawを悪用したサイバー攻撃集団の活動を報告しました。偽装したWebサイトや不正なプラグインの配布を通じて利用者の端末に侵入し、機密情報を窃取する手口が確認されています。

注意点・今後の展望

利便性とリスクのバランスが課題

OpenClawの利便性は疑いようがありませんが、セキュリティリスクを過小評価すべきではありません。特にデフォルトの設定では安全性が脆弱であり、攻撃者が突破口を見つければシステムの完全な制御権を奪われる可能性があります。

企業や個人が取るべき対策としては、最新バージョンへの更新、ネットワーク環境の隔離、環境変数への機密情報の平文保存を避けること、プラグインの出所の厳格な管理が推奨されています。

AIエージェント時代のセキュリティ標準

OpenClawの急拡大と相次ぐセキュリティ問題は、AIエージェント時代におけるセキュリティ標準の必要性を浮き彫りにしています。従来の対話型AIと異なり、AIエージェントはシステムへの直接的なアクセス権限を持つため、従来のセキュリティモデルでは対応しきれない新たなリスクカテゴリーが生まれています。

今後、各国でAIエージェントに特化したセキュリティ規制の整備が進むと予想されます。中国の対応は、その先行事例として世界的に注目を集めることになるでしょう。

まとめ

OpenClawは、自律的にパソコンを操作するAIエージェントとして世界的なブームを巻き起こしていますが、ClawJacked脆弱性やプラグインの汚染など、深刻なセキュリティリスクが相次いで発覚しています。中国当局は複数の機関を通じて警告を発出し、国有企業や政府機関での利用制限に踏み切りました。

AIエージェント技術の恩恵を受けながらリスクを最小化するためには、最新のセキュリティパッチの適用、利用環境の隔離、プラグインの慎重な選択が不可欠です。OpenClawの事例は、AIエージェント時代のセキュリティのあり方を考える重要な転換点となっています。

参考資料:

• Lobster buffet: China’s tech firms feast on OpenClaw - CNBC
• ClawJacked Flaw Lets Malicious Sites Hijack Local OpenClaw AI Agents - The Hacker News
• OpenClaw: 2026’s First Major AI Agent Security Crisis - PBX Science
• 国家互联网应急中心：OpenClaw 風険提示 - 新華網
• 国家網絡安全通報中心通報OpenClaw風険 - 光明網
• OpenClaw AI Agent Flaws Could Enable Prompt Injection - The Hacker News