セキュリティに関して課題がありますか?
|
サポート
|
お問い合わせ
|
03-4595-0120
ブログ
/
サイバーレジリエンス

OpenClaw(旧称Clawdbot)がAIエージェントのセキュリティにとって警鐘となる理由

Alex Goller
プリンシパルセールスエンジニア
Illumio Editorial
2026年2月9日
23分読む

1月、発売からわずか2か月後、Clawdbotと呼ばれるオープンソースのAIアシスタントが話題になった。わずか数日のうちに、プロジェクトは最高潮に達し、1月26日から2月1日の間に、GitHubスターの数が9,000から100,000以上に急増しました。

開発者たちは夢中になりました。その約束は魅力的でした。「手」を持つパーソナルAIです。メールを読んだり、Web を閲覧したり、シェル コマンドを実行したり、新しいスキルを即座に開発したりできるようになります。

しかし、それを有用にする自律性は、まさにそれを負債にするものである。

セキュリティ研究者はすぐにその影響を発見しました。4,500 を超えるインスタンスがパブリックインターネットに公開され、数百の悪意のある「スキル」がすでにプロジェクトのプラグインリポジトリに溢れていました。リモート コード実行 (RCE) の脆弱性により、Clawdbot のインストールは事実上、攻撃者の新たな足掛かりとなりました。

さらに混乱を招いたのは、商標問題により、プロジェクトが数日のうちに2度もブランド名を変更せざるを得なくなったことだ。最初はMoltbot、次にOpenClawだ。この不安定さは、暗号詐欺師やハッカーにとって、ソーシャルアカウントを乗っ取ったり、偽のプラグインを公開して混乱に乗じる絶好の機会を作り出した。

OpenClaw は現代の教訓的な物語です。これは、次の大きな企業セキュリティの課題の予告でもあります。それは、AI エージェントが単なるチャットではなく、行動しているからです。彼らは職務を遂行するために深いアクセス権を必要とし、そのアクセス権により、究極の内部脅威となります。

AIエージェントは新たな内部脅威

この変化は、ほとんどのセキュリティ チームが認識しているよりも速いペースで起こっています。ガートナーは、2025 年の 5% 未満から 2026 年末までにエンタープライズ アプリケーションの 40% に AI エージェントが組み込まれると予測しています。PwCによれば、組織の 79% がすでに何らかの形で AI エージェントを導入しています。企業は現在、機械 ID と人間 ID の比率が 82 対 1 という状況に直面しています。

これらのエージェントは単なるチャットボットではありません。彼らは行動する。データベースに接続し、API を呼び出し、ファイル システムにアクセスし、電子メールを送信し、ワークフローをトリガーします。これらは、企業のインフラストラクチャの奥深くまで到達できる資格情報と権限を使用して動作します。

Palo Alto Networks の最高セキュリティインテリジェンス責任者 Wendi Whitmore 氏によると、AI エージェントは新たな内部脅威を表しています。彼女は、テクノロジーニュースサイト「The Register」に対し、今日の攻撃者が環境に侵入する際、ドメインコントローラに横移動して Active Directory の認証情報をダンプするという従来の手法だけに従うことはもうないだろうと語った。代わりに、彼らは直接内部 LLM にアクセスし、偵察作業を実行するためにクエリを開始します。

「良くなる前に、おそらくもっと悪くなるだろう」と彼女は言った。  

OWASP Foundation は、2025 年後半にエージェント アプリケーションのトップ 10を発表したときに、この変化を認識しました。このリストには、エージェントの目標の乗っ取り、ツールの悪用、ID の不正使用、意図された境界外で動作する不正エージェントなどのリスクが示されています。  

AI エージェントのセキュリティはもはや理論上の懸念事項ではありません。セキュリティ研究者は、各カテゴリを悪用した実際の攻撃をすでに記録しています。

目に見えないAIを保護することはできない

実際のところ、ほとんどの組織は AI エージェントが何に接続しているのかをまったく把握していません。

Microsoft の2026 年データ セキュリティ インデックスでは、組織がセキュリティ制御の適応を上回る速さで生成 AI とエージェント AI を導入していることが判明しました。  

調査により、生成 AI がデータ セキュリティ インシデントの 32% に関係していることが判明しました。最大の課題について尋ねたところ、回答者の 29% が、データ セキュリティとデータ管理プラットフォーム間の統合が弱いことが最大の可視性ギャップであると回答しました。

これが根本的な問題です。  

エージェントは、クラウド、SaaS アプリケーション、オンプレミス システムにまたがります。標準的な ID 監視をバイパスします。セキュリティ体制全体に盲点が生じます。  

エージェントが何をしているか、どこに接続しているかがわからないため、セキュリティ チームは目隠し状態で作業することになります。

ここで、 Illumio Insights が重要な可視性のギャップを埋めます。Insights は、ハイブリッド環境全体で実際のトラフィックと通信の動作を観察することで、チームが想定している方法ではなく、エージェント、ワークロード、サービスが実際にどのように通信するかを示します。

AI エージェントの実際の動作を理解しなければ、AI エージェントに効果的なセキュリティ ポリシーを構築することはできません。どの API を呼び出すのでしょうか?どのようなデータベースを照会しますか?どのようなサービスにアクセスしますか?  

これらの質問への答えは、推測ではなく観察から得られなければなりません。

正当なエージェントの横方向の移動を制限する

正当な AI エージェントにはネットワーク アクセスが必要です。  

営業担当者は CRM にアクセスする必要があります。サポートエージェントはチケットシステムにアクセスする必要があります。コーディング アシスタントは、リポジトリや CI/CD パイプラインと対話する必要があります。  

すべてのアクセスをブロックすると、そもそもエージェントを展開する目的が達成されなくなります。

答えはすべてのアクセスをブロックすることではありません。各エージェントが実際に必要とするものに基づいて、アクセスの範囲を正確に設定します。

ここで、 Illumio Segmentation ようなソリューションによる マイクロセグメンテーション が不可欠になります。セグメンテーションにより、組織はエージェントをタスクに必要な特定のネットワーク ゾーン、データベース、またはサービスに制限できます。  

エージェントがプロンプトインジェクションまたはその他の攻撃ベクトルによって侵害された場合、爆発半径は制限されます。エージェントは、明示的にアクセスを許可された範囲にのみアクセスすることができます。

原則として、エージェントはタスクを遂行するために必要な最小限のアクセス権を持つ必要があります。すべての請負業者に完全なネットワーク アクセスが付与されるわけではないのと同様に、エージェントの権限も明らかに必要なものに制限する必要があります。  

つまり、違反が発生した場合でも、コストは大幅に削減されます。攻撃者は、最初の足場から価値の高い資産へと方向転換することはできません。

AIエージェントのセキュリティ確保方法:まずは可視化、次に施行

AI エージェントを保護するための適切なアプローチは、明確な順序に従います。  

まずは 可視すべてのエージェント、それらが呼び出す API、およびそれらがアクセスするデータをインベントリします実際のコミュニケーションパターンをマップします。正常な動作がどのようなものかを理解する。

次に、観察した内容に基づいてポリシーを構築します。すべてのエージェント ID に最小権限アクセスを適用します。エージェントが必要なリソースにのみアクセスできるようにするセグメンテーション ルールを作成します。可能な場合は、静的な資格情報を短命のトークンに置き換えます。

最後に、それらのポリシーをリアルタイムで適用します。異常を監視します。エージェントが許可された範囲外の何かにアクセスしようとしたときにそれを検出します。予期しない動作をするエージェントを封じ込めたりシャットダウンしたりする機能を持ちます。

これは、あらゆるワークロードのセキュリティ保護に機能するアプローチと同じです。AI エージェントは単なる別のワークロード タイプであり、自律的であるため、侵害された場合に潜在的にさらに危険になります。  

セグメンテーションの基本がそのまま適用されます。つまり、すべてを把握し、依存関係を理解し、現実に基づいてポリシーを構築し、横方向の移動を制限する境界を強化します。

OpenClaw は警告でした。AIエージェントのリスクは現実です。

OpenClaw は警告射撃でした。このプロジェクトで発見された脆弱性は、企業全体の無数の AI エージェント展開に存在します。  

封じ込められたインシデントと壊滅的な侵害の違いは、多くの場合、1 つの質問に集約されます。エージェントが侵害を受けた場合、何に到達できるでしょうか?

AI エージェントを導入する組織は、攻撃者よりも先にその質問に答える必要があります。  

前進への道は、エージェントが実際に何に接続しているかを可視化することから始まります。ネットワーク レベルで最小権限を適用するポリシーが継続されます。そして、何か問題が発生した場合の爆発半径を限定するセグメンテーションが実現します。

エージェントはすでに接続しています。問題は、あなたが何を知っているか、そして、もし彼らのうちの一人があなたに敵対した場合に、損害を制限する制御力があるかどうかです。

AI エージェントが到達できる範囲が心配ですか? Illumio Insightsを無料でお試しください 今すぐ導入して、環境全体にわたる完全なリアルタイムの観測性を実現しましょう。

Alex Goller
プリンシパルセールスエンジニア
Illumio Editorial
2026年2月9日
23分読む
サイバーレジリエンス
お問い合わせ
共有

関連記事

AIが生成した攻撃:ゼロトラストで保護を維持する方法
Segmentation

AIが生成した攻撃:ゼロトラストで保護を維持する方法

ゼロトラストセグメンテーションを中核としたゼロトラストセキュリティを構築することが、AIの脅威から組織を守るための鍵となる理由をご覧ください。

詳細はこちら
アイテムが見つかりませんでした。
AIを活用したクラウドオブザーバビリティ:CPOのマリオ・エスピノザによるイルミオの洞察の詳細な考察
IL L U M IO P R O D U C T S

AIを活用したクラウドオブザーバビリティ:CPOのマリオ・エスピノザによるイルミオの洞察の詳細な考察

Illumio InsightsがAIを活用したクラウドオブザーバビリティを使用して、サイバー脅威をリアルタイムで検出して封じ込める方法をご覧ください。

詳細はこちら
インシデント対応
CISOがAIについて尋ねるべき8つの質問
サイバーレジリエンス

CISOがAIについて尋ねるべき8つの質問

CISOSがAI支援ランサムウェア攻撃から組織を守る際に考慮しなければならない8つの質問をご覧ください。

詳細はこちら
サイバーレジリエンス
サイバーセキュリティへの投資から最高のROIを得るための5つのヒント
サイバーレジリエンス

サイバーセキュリティへの投資から最高のROIを得るための5つのヒント

投資から ROI を引き出して、セキュリティ体制を改善し、リスクを軽減し、堅牢なセキュリティ戦略を確保する方法を学びます。

詳細はこちら
ROI
身代金の支払いの禁止、Microsoft Azure ファイアウォールのゼロトラスト、および最近の英国の侵害
サイバーレジリエンス

身代金の支払いの禁止、Microsoft Azure ファイアウォールのゼロトラスト、および最近の英国の侵害

2023年8月のイルミオのニュース報道の概要をご覧ください。

詳細はこちら
アイテムが見つかりませんでした。
文脈のギャップに注意:英国のセキュリティチームが重要な事柄の調査に苦労している理由
サイバーレジリエンス

文脈のギャップに注意:英国のセキュリティチームが重要な事柄の調査に苦労している理由

英国のセキュリティ チームがアラートの過負荷と検出の遅延に悩まされている理由を明らかにし、Illumio Insights が重大なサイバー コンテキストのギャップをどのように埋めるかをご覧ください。

詳細はこちら
サイバーレジリエンス

今すぐIllumio Insightsを体験してください

AI を活用した可観測性が、脅威をより迅速に検出、理解、封じ込めるのにどのように役立つかをご覧ください。
Illumio Insightsを試す