執筆者:Bitget Wallet
OpenClawは現代のコンピュータウイルスだと言う人もいる。
しかし、真の脅威はAIではなく、アクセス制御にある。ハッカーたちは何十年にもわたり、脆弱性の発見、コードの記述、ユーザーのクリック誘導、セキュリティ対策の回避など、パーソナルコンピュータへの侵入方法を綿密に練り上げてきた。10以上の障壁があり、それぞれに失敗する可能性はあるものの、最終的な目標は変わらない。それは、あなたのコンピュータへのアクセス権を取得することだ。
2026年、状況は一変した。
OpenClawは、エージェントが一般ユーザーのコンピュータに迅速に侵入することを可能にします。より「スマートに動作する」ために、当社はエージェントに対して最高レベルの権限、すなわちフルディスクアクセス、ローカルファイルの読み書き、およびすべてのアプリケーションの自動制御を積極的に要求します。かつてハッカーが苦労して盗み出していた権限を、当社は今や「排除する」対象としています。
ハッカーたちはほとんど何もせず、ドアは内側から開いた。おそらく彼らは内心喜んでいたのだろう。「人生でこれほど儲かる戦いに勝ったことはない」と。
技術史は繰り返し一つのことを証明してきた。それは、新技術が広く普及する時期は、常にハッカーにとって好機となる時期であるということだ。
1988年、インターネットが一般に普及し始めたまさにその時、モリスワームが世界のネットワーク接続されたコンピュータの1割に感染し、人々は初めて「インターネットそのものが危険である」ということに気づいた。
2000年、電子メールが世界的に広く普及した最初の年に、「ILOVEYOU」ウイルスメールが5000万台のコンピューターに感染し、「信頼は武器になり得る」ということを人々に認識させた。
2006年、中国のパソコンインターネットは爆発的に普及した。「パンダが線香を焚く」という現象により、数百万台のパソコンが一斉に3本の線香を掲げ、人々は「好奇心は脆弱性よりも危険だ」ということを痛感した。
2017年、企業がデジタル変革を加速させる中、WannaCryは150カ国以上の病院や政府機関を一夜にして麻痺させ、ネットワークの進化速度は常にシステム障害への対応速度よりも速いということを人々に認識させた。
人々は毎回、パターンを解明したと思い込む。しかし毎回、ハッカーたちは次の侵入ポイントで待ち構えているのだ。
さあ、今度はAIエージェントの番だ。
AIが人間にとって代わるかどうかを議論し続けるよりも、今、より差し迫った問題が私たちの前に突きつけられている。AIに最高レベルのアクセス権限を与えた場合、それが悪用されないようにするにはどうすればよいのか、ということだ。
この記事は、エージェントを使用しているロブスタープレイヤーのためのサバイバルガイドです。
あなたが知らなかった5つの死に方
内側から扉が開けられました。ハッカーは想像以上に多くの方法で、そして静かに侵入してきます。以下の高リスクシナリオを直ちに確認してください。
API詐欺と法外な請求
実例:深センのある開発者は、たった1日でハッカーにモデルを不正アクセスされ、1万2000元の損害賠償を請求された。クラウド上に展開された多くのAIシステムは、安全なパスワード保護が欠如しているため、ハッカーに直接乗っ取られ、不正なAPIアクセスの格好の標的となっている。
リスク要因:公開されているインスタンス、または適切に保護されていないAPIキー。
コンテキストオーバーフローによって引き起こされる赤い線「記憶喪失」
実例:Meta AIのセキュリティ責任者が、エージェントにメール処理を許可しました。コンテキストオーバーフローにより、AIはセキュリティ指示を「忘れ」、人間の強制停止コマンドを無視し、200通以上の重要な業務メールを即座に削除してしまいました。
リスクポイント:AIエージェントは知能が高いものの、「脳の容量(コンテキストウィンドウ)」には限界があります。新しい情報を詰め込むために、あまりにも多くの文書やタスクを詰め込むと、強制的に記憶を圧縮してしまい、最初に設定した「安全上のレッドライン」や「運用上の最低ライン」を完全に忘れてしまう可能性があります。
サプライチェーンの「大虐殺」
実例:ポール・マッカーティ氏やKoi Securityなど、複数のセキュリティ組織と独立系研究者による最近の共同監査報告書によると、ClawHubマーケットプレイス上の監査スキルパックの最大12%(2,857個のサンプルから400個近くの悪意のあるパケットが発見された)が、純粋なアクティブなマルウェアであった。
リスク:公式またはサードパーティのマーケットプレイスからスキルパックを盲目的に信頼してダウンロードすると、悪意のあるコードがバックグラウンドでシステム認証情報を密かに読み取る可能性があります。
致命的な結果:この種のポイズニングでは、送金の承認や複雑な操作は一切必要ありません。「インストール」をクリックするだけで、悪意のあるペイロードが即座に実行され、金融データ、APIキー、および基盤となるシステム権限がハッカーによって完全に盗まれてしまいます。
クリック不要のリモート乗っ取り
実例:2026年3月初旬に有名なサイバーセキュリティ企業Oasis Securityが最近公開したレポートでは、「ClawJacked」(CVSS 8.0+レベル)として知られるこの高リスクの脆弱性により、ローカルエージェントのセキュリティ偽装が完全に露呈したと指摘されています。
リスク要因:ローカルWebSocketゲートウェイの同一オリジンポリシーにおける盲点、およびブルートフォース攻撃対策メカニズムの欠如。
原理分析:その攻撃ロジックは非常に奇妙です。OpenClawがバックグラウンドで実行されている限り、フロントエンドのブラウザが誤って感染したウェブページにアクセスすると、たとえ認証ボタンをクリックしなくても、ウェブページに隠されたJavaScriptスクリプトが、ブラウザがlocalhost(ローカルホスト)WebSocket接続を保護していないという盲点を悪用し、ローカルエージェントゲートウェイへの攻撃を即座に開始します。
致命的な結果:このプロセスは操作不要(ゼロクリック)で、システムポップアップも一切表示されません。ハッカーはわずか数ミリ秒でエージェントへのルートアクセス権を取得し、基盤となるシステム構成ファイルを直接ダンプ(エクスポート)します。SSHキー、暗号化されたウォレット認証情報、ブラウザのCookie、環境ファイル内のパスワードなどが瞬時に漏洩します。
これを読んだ後、背筋がゾッとするかもしれません。
これはエビを養殖しているのではなく、いつ乗っ取られてもおかしくないトロイの木馬を育てているようなものだ。
しかし、インターネットケーブルを抜くだけでは解決にはなりません。真の解決策はただ一つ、AIに忠誠心を「教育」しようとするのではなく、AIが悪意を持って行動することを可能にする物理的な条件を根本的に取り除くことです。これが、次に議論する核心的な解決策です。
AIにどのような制約を設けることができるだろうか?
コードを理解する必要はありませんが、1つの原則を理解する必要があります。それは、AIの頭脳(LLM)と手(実行層)は分離していなければならないということです。
暗い森の中では、防御線は基盤となるアーキテクチャに深く組み込まれていなければならず、唯一の核心的な解決策は、脳(大規模モデル)と手(実行層)を物理的に分離することである。
大規模モデルは思考を担い、実行層は行動を担います。その間にある壁こそが、あなたの安全境界全体です。以下の2種類のツールがあります。1つはAIが悪意を持って行動する条件を未然に防ぎ、もう1つはあなたの日常的な利用の安全性を確保するものです。これらのソリューションをそのままコピーすれば良いのです。
コアセキュリティ防御システム
こうしたツールは実際の作業を行うわけではなく、AIが暴走したりハッカーに乗っ取られたりした際に、AIを制御するだけのものです。
LLMガード(LLMインタラクティブセキュリティツール)
Microsoft Presidio (業界標準の匿名化エンジン)
SlowMistのセキュリティ実践ガイドは、SlowMistチームがエージェントの暴走危機に対応してGitHubで公開した、システムレベルの防御設計図(セキュリティ実践ガイド)です。
拒否権:AI ブレインとウォレット署名者の間に、セキュリティ ゲートウェイと脅威インテリジェンス API を別途ハードコーディングすることを推奨します。仕様では、AI がトランザクション署名を開始する前に、ワークフローでトランザクションの相互チェックを強制する必要があります。具体的には、ターゲット アドレスがハッカー インテリジェンス データベースに登録されているかどうかをリアルタイム スキャンで確認し、ターゲット スマート コントラクトがハニーポットであるか、無制限の認証バックドアが含まれているかどうかを詳細に分析します。
直接サーキットブレーカー:セキュリティ検証ロジックは、AIの意思とは独立していなければなりません。リスク制御ルールベースのスキャンで危険信号が検出された場合、システムは実行層で直接サーキットブレーカーを作動させることができます。
日常的に役立つスキル一覧
日常業務(研究報告書の閲覧、データの確認、対話の実行など)にAIを活用する場合、適切なツールタイプのスキルをどのように選択すればよいのでしょうか?便利で魅力的に聞こえますが、実際には、基盤となるセキュリティアーキテクチャの慎重な設計が必要です。
現在、業界で初めて「インテリジェントな市場データ照会→ガスゼロのバランス取引→簡素化されたクロスチェーン」という完全なクローズドループを成功裏に完了したBitget Walletを例にとると、その組み込みのスキルメカニズムは、AIエージェントのオンチェーンインタラクションに対して非常に価値のあるセキュリティ防御基準を提供します。
記憶フレーズのセキュリティに関するヒント:組み込みの記憶フレーズのセキュリティに関するヒントは、ユーザーが書き込んでいない記憶フレーズからユーザーを保護し、ウォレットキーの漏洩を防ぎます。
資産を保護しましょう:内蔵されたプロフェッショナルなセキュリティ検出機能が不正行為や詐欺を自動的にブロックし、AIによる意思決定をより安心できるものにします。
フルチェーン注文モード:トークン価格の照会から注文の送信まで、プロセス全体がクローズドループで行われ、すべてのトランザクションの確実な実行を保証します。
@AYi_AInotes は、信頼できる日々のスキルセットを厳選したこの「選りすぐりの」リストを強く推奨しています。
TwitterのAI効率化に関する熱心なブロガーである@AYi_AInotesは、毒物混入事件(元の投稿へのリンク)を受けて、一夜にして安全対策のホワイトリストを作成しました。以下は、最低レベルでの不正アクセスリスクを完全に排除するのに役立ついくつかの実践的なスキルです。
上記のリストに従って、エージェントプラグインライブラリを整理することをお勧めします。更新頻度が低く、不当な権限要件(グローバルファイルへの読み取り/書き込みアクセスを常に要求するなど)を持つサードパーティ製の低品質なスキルは、思い切って削除してください。
エージェントのための憲法を作成する
必要なツールはすべて揃っているが、それだけでは十分ではない。
真のセキュリティは、AI向けに最初に作成するルールから始まります。この分野における初期の実践者2名は、既に実証済みで再現可能なソリューションを開発しています。
マクロレベルの防御:コサインの「三段階」原理。
SlowMist Cosmosは、AIの機能を無差別に制限することなく、事前確認、イベント中の迎撃、事後検査という3つのチェックポイントにのみ焦点を絞ることをTwitterで提案した。
https://x.com/evilcos/status/2026974935927984475
ユー・シアンの安全ガイドライン:「能力を制限するのではなく、3つの防御線を守ること…スキルでもプラグインでも、あるいは単にこのプロンプトでも、自分に最適なものを作成してください。『ねえ、危険なコマンドを実行する前に、それが私の期待する動作かどうか私に確認してください。』」
推奨事項:論理的推論能力が最も高い大型ヘッドモデル(Gemini、Opusなど)を使用することで、長文テキストのセキュリティ制約をより正確に理解し、「所有者による二次確認」の原則を厳密に実施できます。
シェンユーの安全ガイドラインと実用的な概要:
要約する
毒物を使った工作は、今日でも攻撃者にとってあなたの全財産を静かに奪い去ることができる。
Web3の世界では、権限はリスクとなる。AIが本当に人間を気遣っているかどうかを学術的に議論するよりも、堅牢なサンドボックスを構築し、設定ファイルを保護することに注力する方が賢明だ。
私たちが確実にしなければならないのは、たとえAIがハッカーによって完全に洗脳され、制御不能になったとしても、権限を逸脱してあなたから一銭たりとも奪い取ることは決してできないようにすることです。AIから無許可の自由を奪うことこそ、このインテリジェント時代において私たちの資産を守るための最後の防衛線なのです。
