慢霧科技資安長 23pds 警告:技術的な基礎がないチームが盲目的にOpenClawを展開することは全く意味がなく、新たな脆弱性を生み出すだけです。
(前提:最初のOpenClaw被害者が現れた!インストール前に理解すべき4つの安全ライン)
(背景補足:OpenClawが爆発的に拡散した後:オープンソースの小さなカニが米国株にどのような影響を与えたのか?)
最近、AIエージェント(人工知能代理)のオープンソースプロジェクトであるOpenClawは、多くの人にとって「自動化の金鉱」と見なされています。しかし、慢霧科技資安長の23pdsは今(11日)早朝に警告を発しました:技術的な基礎がないまま、流行に乗って展開しようとすれば、得られるのは富ではなく、極めて高いリスクの下での災害だけです。
OpenClawはフィルターの一種であり、計算能力と安全性を備えた企業はそれを生産性に変えることができる。しかし、技術的な基礎のないチームは、それを新たなリスクにしか変えられない。水をすくう企業や流行に乗る個人は、自分たちの真のニーズをまず見極めるべきだ。もともと業務体系や安全能力がひどい場合は、盲目的に追随する必要はない。
真のチャンスは、業界を理解している者に永遠に属し、投機者には属さない。
— 23pds(山哥)(@im23pds) 2026年3月11日
23pdsはXプラットフォームで投稿し、OpenClawは安全能力のある企業にとっては生産性向上のツールになり得る一方、システム基盤が「めちゃくちゃ」なチームにとっては盲目的な追随は無意味であり、新たな脆弱性を生み出すだけだと指摘しています。
また、技術的な観点から言えば、7B-14Bモデルを動かすには最低でもNVIDIA RTX 3060/4060以上のGPU(VRAM ≥ 8GB)、メモリは32GB以上を推奨します。クラウドAPI(例:Claude)を利用する場合、月額トークン費用は数十ドルから数百ドルに達することもあります。
これらのコストは、技術評価能力の乏しい投機者にとっては過小評価されがちです。
現時点でOpenClawに関して指摘されている主な安全リスクは以下の三つです。
まずは悪意のあるインストールパッケージ侵入。既に「openclawai」と偽装した悪意のnpmパッケージが発見されており、暗号通貨ウォレットの秘密鍵やApple Keychainの敏感情報を盗む目的で作られています。市販の「USB版」も悪意のあるスキルを仕込んでいる可能性があり、インストールするとハッカーにシステムの深部へ高権限でアクセスされる危険があります。
次に検索結果の投毒。ハッカーはBingなどの検索エンジンにSEO投毒を仕掛け、OpenClawをダウンロードしようとするユーザーを偽サイトへ誘導し、バックドア入りのプログラムをダウンロードさせるのです。
最後はAIの幻覚リスク。過去の事例では、AIエージェントが幻覚によって誤った倉庫IDを生成し、開発過程で「展開のずれ」が生じ、プロジェクトが本来の軌道から外れるケースもありました。
OpenClawの台頭はAI代理時代の進歩を示す一方、技術熱だけに目を奪われて基本的な資安意識を疎かにすべきではありません。秘密鍵やシステム権限を守ることこそ、どんなオープンソースよりも重要です。理解できないコードは、資産最大の脅威となるからです。
関連記事
