2026年初頭のOpenClawセキュリティ危機は一夜にして起きたわけではない。アーキテクチャ上の決定、急速な成長、そして到達した規模に対して設計されていなかったセキュリティモデルの、予測可能な結果だった。これはCVEデータベース、セキュリティ研究者の開示、コミュニティのインシデントレポートから再構築された完全なタイムラインだ。
2025年10-11月:躍進
OpenClawは2025年10月末にオープンソースのパーソナルAIエージェントとしてGitHubにローンチされた。売り文句は魅力的だった:メール、カレンダー、ファイル、Webブラウジング、メッセージング——デジタルライフのすべてを自然言語コマンドで管理できる単一ツール。
2週間以内にGitHubスター10,000を突破。11月初頭には50,000に到達した。成長を牽引したのは、OpenClawが複雑なタスクを自律的に処理するバイラルデモ動画だった:「800ドル以下で東京行きのフライトを予約して」「プルリクエストをレビューして変更点を要約して」「このプロジェクトの開発環境をセットアップして」
スキルマーケットプレイスのClawHubは11月に200スキルでローンチ。11月末には1,000を超えた。エコシステムはOpenClawチームを含め誰もが予想したより速く成長していた。
2025年12月:早期警告
12月にセキュリティ研究者が懸念を提起し始めた。問題はよく知られた脆弱性クラスだった:
- •OpenClawのゲートウェイがデフォルトで0.0.0.0にバインドし、インターネットに露出
- •スキルがフルOSレベル権限で実行——サンドボックスなし、ケイパビリティ制限なし
- •WebSocketインターフェースがOriginヘッダーを検証しない
- •認証が有効期限のないベアラートークンに依存
これらの懸念はGitHub issueとして提出された。OpenClawチームはそれらを認め、ロードマップに追加した。パッチはリリースされなかった——チームは機能とエコシステムの成長に注力していた。
12月末までに、OpenClawは100,000スターと世界中で100,000以上のアクティブインスタンスを擁していた。
2026年1月14日:CVE-2026-25253
最初の重大な脆弱性が公開された。セキュリティ研究者がクロスサイトWebSocketハイジャックを実証するPoC(概念実証)エクスプロイトを公開。悪意あるWebページを訪れるだけで、攻撃者は被害者のブラウザからアクセス可能なOpenClawインスタンスの認証トークンを窃取できた。
CVSSスコア:8.8(高)。分類:CWE-669、不適切なリソース転送。
OpenClawチームは当初「WebSocketアーキテクチャの既知の制限」と説明した。セキュリティコミュニティはクリティカルなリモートコード実行脆弱性と呼んだ。
2026年1月27-31日:ClawHavocの始まり
セキュリティ企業Koi SecurityがClawHubで悪意あるスキルの最初の波を検出した。後にClawHavocと名付けられたこのキャンペーンは、1月27日から悪意あるスキルを仕込んでいた。1月31日に活動が急増した。
初期発見:ClawHubのレジストリ全2,857スキル中、341の悪意あるスキル。マーケットプレイスの約12%が侵害されていた。
悪意あるスキルは洗練されていた:専門的なドキュメント、データ流出ペイロードを覆い隠す正当な機能、偽アカウントを通じて人為的に膨らまされたスター数。
2026年1月30日:最初のパッチ
OpenClawはバージョン2026.1.29をリリースし、WebSocket接続のOriginヘッダー検証でCVE-2026-25253をパッチした。パッチはその特定の脆弱性には有効だったが、根本的なアーキテクチャの問題には対処しなかった。
この時点で、Shodanスキャンはインターネットに露出している42,000以上のOpenClawインスタンスを示していた。推定63%がパッチ未適用のバージョンを実行していた。
2026年2月1-3日:公開開示
Koi Securityが2月1日にClawHavocキャンペーンを公開開示した。2月3日にCVE-2026-25253が正式に公開開示された。
CVEの開示とClawHub攻撃の組み合わせが同時にヘッドラインを飾った。メディアの報道は、孤立したインシデントではなくシステミックな危機として扱った。XDA Developersが「OpenClawの使用をやめてください」を公開。Hacker Newsのスレッドは2,000以上のコメントに達した。
2026年2月4-16日:拡大
状況は悪化した:
- •2月4日: CVE-2026-24763が開示——プロンプト処理を通じたコマンドインジェクション
- •2月7日: CVE-2026-26322が開示——内部ネットワークスキャンを可能にするSSRF
- •2月10日: CVE-2026-26329が開示——任意ファイル読み取りを可能にするパストラバーサル
- •2月16日: Koi Securityの拡張スキャンで、拡大したレジストリ10,700以上のスキル中824の悪意あるスキルが発見された。模倣攻撃者が当初のClawHavocキャンペーンに参入していた。
SecurityScorecardのSTRIKEチームが露出マップを公開:82カ国にわたる135,000以上のOpenClawインスタンス、うち15,000以上がリモートコード実行に直接脆弱。
2026年3月:洪水
3月18日から21日の間に、4日間で9つの追加CVEが開示された。脆弱性は認証バイパスから権限昇格、プロンプトインジェクション駆動のコード実行まで多岐にわたった。
3月のCVEの一つはCVSSスケールで9.9——ほぼ最大の深刻度——を記録した。6つが高、2つが中と評価された。
9 CVEの洪水は協調開示ではなかった。複数の独立したセキュリティ研究者が1月以降OpenClawを監査しており、その発見が同時に成熟した。OpenClawチームはプロジェクト史上どの時点よりも速くパッチを適用していたが、脆弱性の発見速度がパッチ速度を上回っていた。
3月末までに、CVEの総数は31に達し、CVE割り当て待ちの数百の追加セキュリティアドバイザリーが控えていた。
業界の対応
危機はOpenClawプロジェクトを超えた対応を促した:
- •NVIDIAがGTC(3月16日)でNemoClawをローンチ、OpenClawデプロイメントにコンテナレベルの隔離を提供
- •Ciscoが「OpenClawのようなパーソナルAIエージェントはセキュリティの悪夢だ」というブログ記事を公開
- •OWASPがAIエージェントセキュリティTop 10の策定を開始
- •GitHubがAIエージェントリポジトリの拡張スキャンを導入
- •エンタープライズセキュリティチームがAIエージェントデプロイメントの監査を開始、多くが企業ネットワークからOpenClawを禁止
移行の波
ZeroClawのダウンロード数は2月に400%急増した。他の代替案——NanoClaw、Moltis、IronClaw——も同様の急増を見せた。コミュニティが求めていたのは、同じアーキテクチャのパッチ版ではなく、アーキテクチャ的に安全な代替案だった。
教訓
OpenClaw危機は、あらゆるAIエージェントフレームワークに当てはまる4つの教訓を教える:
1. アーキテクチャがセキュリティの天井を決定する。 どれだけパッチを当てても、根本的に許容的なアーキテクチャを安全にすることはできない。OpenClawのスキルモデル、WebSocketの信頼モデル、権限モデルは開発者の利便性のために設計されたもので、セキュリティのためではなかった。各パッチは症状に対処したが、アーキテクチャが脆弱性であり続けた。
2. セキュリティなき成長は複合リスクを生む。 セキュリティ投資なしの急速な成長の各月が、最終的な脆弱性の爆発半径を拡大した。最初のCVEが公開されたとき、42,000のインスタンスが露出していた。セキュリティ負債は金融負債と同様に複利で増える——利息の支払いがやがて元本を上回る。
3. マーケットプレイスは攻撃面である。 ユーザーにサードパーティコードのインストールを許可するあらゆるシステムは、サプライチェーン攻撃ベクターだ。問題はマーケットプレイスが攻撃されるかどうかではなく、攻撃されたときにアーキテクチャが被害を制限できるかどうかだ。
4. デフォルト設定こそが実際のセキュリティ態勢である。 ユーザーはセキュリティガイドを読まない。ソフトウェアをインストールし、デフォルトを受け入れ、使い始める。デフォルトが安全でなければ(0.0.0.0へのバインド、権限制限なし、プラグインへのフルOSアクセス)、それがデプロイされたセキュリティ態勢だ。セキュリティはオプションではなく、デフォルトでなければならない。
AIエージェント分野は2026年にこれらの教訓を学んだ。問題はそれを覚えているかどうかだ。