数日前、ClawdbotはGitHubで最もホットなオープンソースプロジェクトの一つで、80,000以上のスターを獲得していた。これは、WhatsApp、Telegram、Discordなどのメッセージングアプリを通じて、完全なシステムアクセスを持つAIアシスタントをローカルで動かせる、非常に優れたエンジニアリングの成果だ。 しかし今や、法的なリブランドを余儀なくされ、暗号詐欺師に乗っ取られ、1600万ドルの時価総額に一時的に達した偽のトークンと関連付けられ、露出したゲートウェイやアクセス可能な資格情報が発見されたことで、研究者から批判を受けている。 この騒動は、Anthropicが創業者のPeter Steinbergerに商標権侵害の申し立てを送ったことから始まった。Claudeモデルを搭載した多くのClawdbotインスタンスを動かすAI企業は、「Clawd」が「Claude」に似すぎていると判断したのだ。妥当な判断だ。商標法は商標法である。
しかし、それがさまざまな問題を引き起こし、次々と連鎖した。
GitHubのタイムラインに私のアカウントを取り戻す手助けをできる人はいますか?
暗号詐欺師に奪われました。— Peter Steinberger 🦞 (@steipete) 2026年1月27日
Steinbergerは、ClawdbotからのリブランドをX上で発表した。新しい名前はMoltbots(ロブスターにちなんだ遊び心のある名前、聞かないでください)だ。コミュニティは特に異論はなかった。「同じロブスターの魂、新しい殻」とプロジェクトのアカウントは書いた。 次に、SteinbergerはGitHubの組織とXアカウントを同時にリネームした。しかし、旧ハンドルのリリースと新ハンドルの確保の間の短い隙に、暗号詐欺師が両方のアカウントを乗っ取った。
ハッキングされたアカウントはすぐに、Solana上で偽のトークン「CLAWD」を流通させ始めた。数時間以内に、投機的なトレーダーがこのトークンの時価総額を1600万ドル超に押し上げた。 一部の早期購入者は大きな利益を得たと主張した。Steinbergerはトークンとの関与を否定した。時価総額は崩壊し、遅れて参加した購入者は大損した。 「暗号界の皆さん:私に連絡しないでください、嫌がらせもやめてください」とSteinbergerは書いた。「私は絶対にコインを作りません。私をコインの所有者としてリストしているプロジェクトはすべて詐欺です。料金も受け取りません。あなたたちは積極的にプロジェクトを傷つけています。」
暗号界の皆さん:
私に連絡しないでください、嫌がらせもやめてください。
私は絶対にコインを作りません。
私をコインの所有者としてリストしているプロジェクトはすべて詐欺です。
料金も受け取りません。
あなたたちは積極的にプロジェクトを傷つけています。— Peter Steinberger 🦞 (@steipete) 2026年1月27日
暗号コミュニティはこの拒否に不満を持った。一部の投機家は、Steinbergerの否定が自分たちの損失を招いたと信じ、嫌がらせのキャンペーンを展開した。彼は裏切りの非難や、「責任を取れ」との要求、知らないプロジェクトの推奨を強要されるなどの圧力に直面した。 最終的にSteinbergerはアカウントの管理権を取り戻すことに成功したが、その間にセキュリティ研究者たちは、何百ものClawdbotインスタンスが認証なしで公開インターネットに露出していることを指摘するのに良いタイミングだと判断した。つまり、ユーザーは監視されていない権限をAIに与えてしまい、それが悪意のある者に簡単に悪用される可能性があったのだ。 _Decrypt_によると、AI開発者Luis CatacoraはShodanスキャンを行い、多くの問題は初心者ユーザーがエージェントに過剰な権限を与えたことに起因していると指摘した。「Shodanを確認したところ、ポート18789に認証なしのゲートウェイが露出しているのを発見した」と彼は書いた。「シェルアクセスやブラウザ自動化、APIキーも含まれる。Cloudflare Tunnelは無料で、言い訳はできない。」
red-teaming企業Dvulnの創設者Jamieson O’Reillyも、脆弱なサーバーを特定するのは非常に簡単だったと述べている。「私が手動で調査したインスタンスのうち8つは、認証なしで開放されていた」とO’Reillyは_The Register_に語った。さらに多くのインスタンスは部分的な保護しかなく、完全に露出を防げていなかった。
技術的な問題は何か?Clawdbotの認証システムは、自動的にlocalhost接続を承認する仕組みになっている。つまり、自分のマシンへの接続だ。ユーザーがリバースプロキシの背後でソフトウェアを動かす場合(ほとんどのケースでそうしている)、すべての接続は127.0.0.1からのものと見なされ、自動的に承認される。外部からの接続でも同様だ。 ブロックチェーンセキュリティ企業SlowMistはこの脆弱性を確認し、複数のコードの欠陥が資格情報の窃盗やリモートコード実行(RCE)につながる可能性があると警告した。研究者たちは、メール経由のプロンプトインジェクション攻撃など、さまざまな攻撃例を実証している。わずか数分で実行可能だ。
🚨SlowMist TI Alert🚨
Clawdbotゲートウェイの露出が判明:数百のAPIキーとプライベートチャットログが危険にさらされている。複数の認証なしインスタンスが公開アクセス可能で、いくつかのコードの欠陥は資格情報の窃盗やリモートコード実行(RCE)につながる可能性がある。
強く推奨します… https://t.co/j2ERoWPFnh
— SlowMist (@SlowMist_Team) 2026年1月27日
「ウイルス的な成長がセキュリティ監査前に起きるとこうなる」と、FounderOSの開発者Abdulmuiz Adeyemoは書いた。「『公開で作る』には誰も語らない闇の側面がある。」 AI趣味者や開発者にとって良いニュースは、プロジェクト自体は死んでいないことだ。MoltbotはClawdbotと同じソフトウェアで、コードは堅牢であり、 hypeにもかかわらず初心者にはあまり優しくない。ユースケースは実在するが、まだ主流採用には至っていない。そして、セキュリティの問題も残っている。 Shellアクセス、ブラウザ制御、資格情報管理を備えた自律型AIエージェントの運用は、従来のセキュリティモデルでは対応できない攻撃面を生み出す。これらのシステムの経済性—ローカル展開、永続的なメモリ、積極的なタスク—は、業界のセキュリティ体制の適応を上回るスピードで普及を促進している。 そして、暗号詐欺師たちは次の混乱の機会を狙っている。たった一つの見落とし、一つのミス、一つの隙間だけで十分だ。実際、たった10秒で十分なのだ。
