ネットワークセキュリティ企業Certikの2026年3月16日のレポートは、オープンソースの人工知能プラットフォームOpenclawに多くのセキュリティ脆弱性が存在し、とりわけ「スキルスキャニング」機能がサードパーティの悪意ある拡張機能(スキル)からユーザーを保護するには不十分であると警告しています。
レポートによると、Openclawのセキュリティモデルは検出と警告に過度に依存しており、安全な実行隔離(ランタイムアイソレーション)による隔離が行われていないため、システムレベルでの侵入リスクが高まっています。
Openclawの市場において、Clawhubを通じて提供される「スキル」— 自動化や暗号資産管理などのサードパーティアプリケーション — は、複数の層で審査されています。既知のマルウェアをスキャンするVirustotal、怪しいパターンを検出するStatic Moderation Engine、そしてスキルの目的と実際の挙動の違いを検査する「incoherence detector」などです。
しかし、Certikは静的ルールだけでは単純なコード書き換えによって回避可能であると指摘しています。AI評価層は明確な意図のみを検出し、コード内の潜在的な脆弱性や合理的に見える不整合は見逃される可能性があります。
重要な弱点の一つは、スキャン結果の処理待ち状態の扱いです。Virustotalの結果を待たずにスキルをインストールできるケースがあり、この処理は数時間から数日に及ぶこともありますが、それでもシステムはこれを「安全」とみなしています。
証明のために、Certikの研究者は「test-web-searcher」というPoCスキルを作成しました。このスキルは一見普通に見えますが、サーバー上で任意のコマンドを実行できる脆弱性を含んでいます。Telegram経由で実行されると、Openclawのサンドボックスを突破し、テスト環境のマシン上で計算を行う様子が確認され、システム侵入の典型例となっています。
レポートは、検出だけでは実際のセキュリティ境界を超えられないと結論付けています。Certikは、Openclawに対し、サードパーティスキルをデフォルトで隔離環境で実行し、スキル側に事前に必要なリソースを明示させることを推奨しています。これは、現代のモバイルOSの仕組みに似たアプローチです。
ユーザーには、「benign」ラベルが付いていても安全を保証するものではないと警告しています。より強力な隔離メカニズムがデフォルトで導入されるまで、プラットフォームは低リスクの環境でのみ使用し、機密情報や重要資産の取り扱いは避けるべきです。
